Company Management System La Business Continuity in SIA

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Company Management System La Business Continuity in SIA"

Transcript

1 Company Management System La Business Continuity in SIA Codice documento: Classificazione: Società Progetto/Servizio Anno N. Doc Versione Pubblica

2 SOMMARIO 1. INTRODUZIONE IL BUSINESS CONTINUITY MANAGEMENT SYSTEM DI SIA E LO STANDARD DI RIFERIMENTO BCM PROGRAMME MANAGEMENT Cosa prevede la BS La realtà SIA UNDERSTANDING THE ORGANIZATION Cosa prevede la BS La realtà SIA Business Impact Analysis Risk Assessment DETERMINING BCM STRATEGY Cosa prevede la BS La Business Continuity in SIA DEVELOPING AND IMPLEMENTING BCM RESPONSE Cosa prevede la BS La realtà SIA Soluzioni organizzative: Processo di Gestione delle Emergenze e dello Stato di Crisi Soluzioni organizzative: i Business Continuity Plan (BCP) delle Direzioni/Divisioni Soluzioni organizzative: i Disaster Recovery Plan (DRP) Soluzioni logistiche Soluzioni tecnologiche Coinvolgimento della clientela Documentazione di Business Continuity e Disaster Recovery Revisione del Sistema di Gestione della Business Continuity EXERCISING, MAINTAINING AND REVIEWING Cosa prevede la BS La realtà SIA Esercitazioni Mantenimento Revisione EMBEDDING BCM IN THE ORGANIZATION S CULTURE Cosa prevede la BS La realtà di SIA Awareness e Training ALLEGATO 1 - GLOSSARIO DI BUSINESS CONTINUITY MANAGEMENT Tutti i diritti riservati. Pagina 2 di 18

3 1. INTRODUZIONE SIA pone grande attenzione alla Business Continuity quale elemento cruciale per l erogazione dei propri servizi nel pieno rispetto di quanto definito nei contratti con i clienti, delle Linee Guida di Banca d Italia e, più in generale, in coerenza con le metodologie e gli standard internazionali di riferimento. In tal senso ha sviluppato e mantiene un Business Continuity Management System, ovvero un sistema che contempla soluzioni logistiche, organizzative e tecnologiche. Tale sistema è in grado di supportare efficacemente e tempestivamente l organizzazione a fronte di una situazione di emergenza. L obiettivo principale del Business Continuity Management System di SIA è quello di garantire che l organizzazione sia in grado di reagire a fronte di eventi dannosi che ne minacciano la sopravvivenza o l immagine. I principi che stabiliscono le priorità nella gestione dell emergenza/crisi e che orientano le decisioni sono: proteggere la vita e l incolumità delle persone; prevenire ulteriori conseguenze derivanti dall'incidente di origine; proteggere la continuità del business e tutelare il patrimonio di immagine dell azienda; cooperare alla garanzia di continuità di erogazione del sistema creditizio - finanziario; salvaguardare i beni di cui l azienda ha la disponibilità o la responsabilità, nel rispetto dell ambiente. Tali principi sono coerenti con le Linee Guida per la continuità di servizio delle infrastrutture qualificate dei sistemi di pagamento di Banca d Italia e con le best practice e gli standard quali il BS e l ISO Gestire la Business Continuity per SIA significa: guidare le scelte in situazioni di emergenza e di crisi, definire i piani, le procedure e le risorse tecniche, umane e logistiche per assicurare la Business Continuity dell azienda in situazioni di emergenza e di crisi, reagire con prontezza per ridurre il tempo di interruzione dei processi di business e garantirne il ripristino in modo efficace. Tutti i diritti riservati. Pagina 3 di 18

4 2. IL BUSINESS CONTINUITY MANAGEMENT SYSTEM DI SIA E LO STANDARD DI RIFERIMENTO SIA ha adottato lo standard BS per lo sviluppo del proprio Business Continuity Management System e nel corso del 2008 ha ottenuto la certificazione BS 25999, tramite terza parte qualificata, per l intero perimetro aziendale. Il ciclo di vita del Business Continuity Management System si compone di sei fasi: 1. BCM Programme management 2. Understanding the organization 3. Determining BCM strategy 4. Developing and implementing BCM response 5. Exercising, maintaining and reviewing 6. Embedding BCM in the organization s culture Le fasi, che non sono necessariamente consequenziali, ma comunque da ripetere periodicamente nel tempo, sono schematizzate come segue: Understanding the organization Exercising, maintaining and reviewing BCM Programme management Determining BCM strategy Developing and implementing BCM response A maggio 2012 è stata pubblicata la nuova norma ISO 22301:2012 Societal security Business Continuity Management System Requirements, con la quale la BS è stata recepita dall International Standard Organization. SIA sta lavorando al passaggio dalla BS alla nuova norma, pianificato per il Nei capitoli successivi, per ogni fase dello standard, sono descritte le modalità con cui SIA si è organizzata per essere conforme allo stesso. Tutti i diritti riservati. Pagina 4 di 18

5 3. BCM PROGRAMME MANAGEMENT 3.1 Cosa prevede la BS Il BCM Programme Management è il processo continuo di gestione e di governo che, supportato dalla Direzione Aziendale e da un adeguata allocazione di risorse, garantisce che vengano intrapresi i passi necessari al fine di identificare l impatto di potenziali perdite, di mantenere praticabili i piani e le strategie di ripristino e di assicurare la continuità dei prodotti e dei servizi mediante programmi di formazione, test, esercitazioni e costanti attività di aggiornamento e revisione. 3.2 La realtà SIA SIA si è strutturata identificando ruoli e responsabilità al proprio interno per fronteggiare problematiche organizzative (Business Continuity), tecnologiche (Disaster Recovery) e logistiche. Inoltre ha definito un Comitato Guida di Business Continuity/ Disaster Recovery per il coordinamento del master plan degli interventi in materia di Business Continuity/ Disaster Recovery: tale Comitato aggiorna periodicamente l Alta Direzione aziendale. Infine, alle dirette dipendenze della Presidenza, è definita la funzione di Auditing, che interviene sui programmi di Business Continuity e Disaster Recovery con proprie azioni di verifiche indipendenti, valutazioni, pareri e osservazioni. Tutti i diritti riservati. Pagina 5 di 18

6 4. UNDERSTANDING THE ORGANIZATION 4.1 Cosa prevede la BS Scopo di questa fase è favorire la comprensione dell azienda attraverso l identificazione dei suoi servizi chiave e delle sue attività critiche, nonché delle risorse necessarie per il loro mantenimento. Tale analisi è volta a garantire che il programma di gestione della Business Continuity sia allineato alla missione aziendale, ai vincoli normativi ed agli accordi con i clienti. Il perseguimento di tale obiettivo si concretizza attraverso l esecuzione delle seguenti attività: Business Impact Analysis Risk Assessment 4.2 La realtà SIA Business Impact Analysis La Business Impact Analysis (BIA) è la valutazione dell impatto sul business in caso di eventi di rilievo che possono compromettere le attività aziendali e l erogazione dei servizi. Al fine di indirizzare appropriate soluzioni di Business Continuity, vengono identificati i requisiti di ripartenza dei servizi. SIA produce la Business Impact Analysis con l obiettivo di: censire i servizi rilevanti per il business aziendale identificare gli impatti legati all indisponibilità del servizio identificare i tempi di ripristino a livello contrattuale/normativo identificare i servizi maggiormente critici identificare quali attività hanno la necessità di essere ripristinate in un momento successivo. La BIA di SIA riporta, principalmente, l analisi dei servizi di business e l individuazione delle attività critiche utilizzando i parametri di valutazione che tengono conto di vincoli a livello normativo, vincoli contrattuali con i clienti, rilevanza del servizio/attività per il business aziendale, rilevanza strategica del servizio/attività per l azienda. La BIA di SIA viene aggiornata con frequenza annuale con le informazioni fornite dalle strutture aziendali coinvolte e resa disponibile all azienda per la predisposizione dei piani di Disaster Recovery Risk Assessment Il Risk Assessment è finalizzato all individuazione ed alla valutazione delle minacce che possono colpire gli asset aziendali provocandone l indisponibilità per un periodo di tempo più o meno prolungato. Con l effettuazione del Risk Assessment SIA si propone i seguenti principali obiettivi: Identificare gli eventi che potrebbero comportare la perdita di riservatezza, integrità, disponibilità e conformità dei servizi/processi aziendali Tutti i diritti riservati. Pagina 6 di 18

7 Riconoscere e gestire le vulnerabilità presenti, gestendo il rischio derivante dall accadimento di eventi individuati quali possibili minacce. Il processo e la metodologia di analisi dei rischi di sicurezza di SIA sono basati sulle indicazioni dello standard BS e sul modello di riferimento CobiT (Processo PO9 Assess Risk). I rischi, calcolati sui parametri di sicurezza Riservatezza, Integrità, Disponibilità e Conformità, vengono analizzati dalle parti coinvolte ed uno specifico Comitato Sicurezza decide il loro trattamento basandosi sulla valutazione del giusto equilibrio fra necessità di business, di costo, tecnologiche e di sicurezza, ovvero: mitigare i rischi attraverso l identificazione delle azioni, responsabilità e priorità di intervento accettare i rischi in modo consapevole evitare i rischi trasferire i rischi a terze parti. Sulla base delle decisioni assunte, viene predisposto il Piano di Trattamento dei Rischi di Sicurezza, che viene sistematicamente monitorato ed aggiornato sulla base delle indicazioni fornite dal Comitato Sicurezza. Vengono inoltre periodicamente effettuate: Analisi e gestione dei rischi di sicurezza dei processi e delle infrastrutture volti all'erogazione dei servizi di business aziendali Analisi dei rischi di sicurezza fisica e safety. Tutti i diritti riservati. Pagina 7 di 18

8 5. DETERMINING BCM STRATEGY 5.1 Cosa prevede la BS Le attività di questa fase permettono all organizzazione di determinare una adeguata strategia di Business Continuity che le consenta di garantire una risposta appropriata per ciascun servizio, in termini di livelli operativi e di tempi di ripristino accettabili, durante e dopo un evento dannoso. 5.2 La Business Continuity in SIA SIA annualmente sottopone per approvazione al proprio Consiglio di Amministrazione il Piano di Business Continuity che comprende la strategia aziendale, le azioni effettuate e quelle da effettuare. La strategia di Business Continuity di SIA si basa sui seguenti principi guida: Adozione di un modello di Business Continuity che venga riconosciuto come un valido riferimento a livello internazionale. SIA ha scelto come riferimento lo standard BS e la metodologia del Business Continuity Institute (BCI) Articolazione degli obiettivi di Business Continuity per i vari servizi in modo coerente con i contratti commerciali con i clienti e con i requisiti dettati dagli Organismi di Vigilanza Identificazione di soluzioni tecniche ed organizzative adeguate Definizione di un piano pluriennale di Business Continuity che prevede test ripetuti al fine di garantire l adeguatezza e l aggiornamento continuo delle soluzioni adottate Utilizzo del TOR Terms of Reference di Banca d Italia quale strumento di controllo per la verifica dell adeguatezza dell impianto di Business Continuity. Tutti i diritti riservati. Pagina 8 di 18

9 6. DEVELOPING AND IMPLEMENTING BCM RESPONSE 6.1 Cosa prevede la BS Obiettivo della fase di Sviluppo e Realizzazione della Risposta di Business Continuity (Developing and Implementing BCM Response) è garantire che la struttura aziendale sviluppi piani, istruzioni e processi e renda disponibili locali ed apparecchiature in modo tale da essere in grado di gestire prontamente gli incidenti e le crisi. La struttura deve permettere di: confermare la natura e l estensione dell incidente dare l avvio ad un appropriata risposta di Business Continuity avere piani, processi e procedure per l attivazione, il coordinamento, la comunicazione, la gestione e la chiusura dell emergenza avere a disposizione le risorse per supportare i piani, i processi e le procedure nella gestione dell incidente comunicare con gli stakeholder, ovvero i principali attori coinvolti. Lo sviluppo e l attuazione di una risposta di Business Continuity derivano dalla creazione di un modello di gestione e da una struttura di gestione dell evento disastroso, di piani di Business Continuity e Disaster Recovery che dettagliano i passi da compiere durante e dopo un incidente per conservare o ripristinare l operatività. 6.2 La realtà SIA Per essere pronta ad affrontare una situazione di emergenza e/o crisi nel migliore dei modi SIA ha sviluppato le seguenti tipologie di soluzioni: Organizzative Logistiche Tecnologiche Soluzioni organizzative: Processo di Gestione delle Emergenze e dello Stato di Crisi SIA ha definito la struttura organizzativa necessaria al fine di gestire la procedura di escalation per la valutazione e l eventuale dichiarazione dello Stato di Crisi e quindi l attivazione di gruppi operativi di Business Continuity. Ha inoltre predisposto un Processo di Gestione delle Emergenze e dello Stato di Crisi al fine di descrivere le modalità di attivazione, le responsabilità ed i contatti necessari per gestire una situazione di emergenza e/o crisi in azienda. Il flusso descrittivo, di seguito riportato, mette in evidenza le modalità di attivazione dei Gruppi di Gestione della Business Continuity, le relative responsabilità e le modalità di trasferimento delle informazioni all interno ed all esterno dell azienda. Tutti i diritti riservati. Pagina 9 di 18

10 Il Processo di Gestione delle Emergenze e dello Stato di Crisi è caratterizzato da cinque fasi: Analisi dell Evento, Attivazione delle Unità di Crisi, Reazione, Gestione dello Stato di Crisi e Chiusura dello Stato di Crisi. Le condizioni aziendali di emergenza e/o crisi possono scaturire dall evoluzione di due tipologie di eventi: ICT e NO ICT. Per ICT si intende tutto ciò che concerne gli aspetti tecnologici, applicativi e operativi necessari per l erogazione dei servizi (di competenza dell ICT Incident Analysis Team). Per NO ICT si intende tutto ciò che concerne gli aspetti quali la sicurezza fisica, la logistica e gli impianti ausiliari (di competenza del Physical Incident Analysis Team) e gli aspetti di tipo organizzativo quali le problematiche relative al personale, alla sfera legale, all amministrazione, ai Media, ecc.. (di competenza dell Organizational Incident Analysis Team). Le azioni da porre in essere e le relative responsabilità di esecuzione quando in azienda è dichiarato uno stato di emergenza che impone l evacuazione dello stabile o di alcune zone per preservare l incolumità delle persone sono descritte in uno specifico Piano di emergenza per l incolumità delle persone e l evacuazione, che viene rivisto periodicamente Soluzioni organizzative: i Business Continuity Plan (BCP) delle Direzioni/Divisioni Il Processo di Gestione delle Emergenze e dello Stato di Crisi attiva i Business Continuity Plan (BCP) delle Direzioni/Divisioni. I Business Continuity Plan descrivono le modalità organizzative che ogni Direzione/Divisione deve seguire Tutti i diritti riservati. Pagina 10 di 18

11 per il ripristino e il controllo dei propri servizi a seguito della Dichiarazione dello Stato di Crisi in azienda da parte dell Amministratore Delegato. Nei Business Continuity Plan sono descritti gli scenari di disastro ipotizzati, la gestione dei contatti e delle comunicazioni durante l emergenza o crisi (risorse interne, fornitori, clienti, società partecipate/controllate), le azioni di contenimento e/o di contrasto ipotizzate per ogni scenario e la documentazione di riferimento. Inoltre, nei Business Continuity Plan sono riportati i nominativi del personale operativo da coinvolgere Soluzioni organizzative: i Disaster Recovery Plan (DRP) SIA ha predisposto e mantiene i Disaster Recovery Plan, insieme di documenti redatti per il ripristino delle infrastrutture tecniche ed applicative che descrivono le modalità e la tempistica di riattivazione presso il sito di Disaster Recovery Soluzioni logistiche Al fine di tutelarsi a fronte di eventi che possano minacciare la sicurezza dell azienda, SIA si è dotata di una sede attrezzata con le più moderne e sofisticate misure di sicurezza fisica, quali ad esempio un sistema di controllo accessi, intrusion detection, difesa perimetrale, rilevamento allagamenti e infiltrazioni, rilevazione fumo, antincendio, sistema di telecamere a circuito chiuso, gruppi di continuità. Inoltre, l edificio è costruito secondo norme antisismiche e l approvvigionamento dell energia elettrica avviene da due centrali elettriche differenti. Oltre a quanto sopra descritto, per rispondere in modo adeguato al verificarsi di un evento di tipo disastroso, SIA si è dotata di più sedi di lavoro (sulle quali sono dislocate le macchine e le risorse umane) e di un sito di Disaster Recovery al di fuori dell area urbana, dove è installata l infrastruttura necessaria per gestire la ripartenza dei servizi in caso di evento disastroso (per i servizi ritenuti critici dall azienda e per quelli contrattualizzati con i clienti); in sale distinte sono infatti dislocate apparecchiature di rete, macchine di sicurezza, dispositivi per la rete locale e altre apparecchiature necessarie per i processi di riattivazione dei servizi. Sono inoltre state predisposte alcune sale o data-room equipaggiate con work-station, collegamenti con più provider, telefoni satellitari, denaro, strumenti di documentazione Soluzioni tecnologiche Il sito di Disaster Recovery è allestito con piattaforme tecnologiche dotate di capacità elaborativa equivalente a quelle del sito primario. I dispositivi hardware basilari sono ridondati o hanno adeguate caratteristiche di fault tolerant sia nel sito primario che in quello di Disaster Recovery. Sono stati inoltre siglati specifici contratti di manutenzione con adeguati Livelli di Servizio sui tempi di intervento o risoluzione. Le soluzioni architetturali di Disaster Recovery adottate permettono di realizzare specifiche tipologie di configurazione dell infrastruttura tecnologica, al fine di soddisfare i Livelli di Servizio e le direttive delle Istituzioni. L architettura della rete locale, della rete geografica SIANet.NG e dell accesso alla rete telefonica sono state progettate e realizzate per garantire la stessa affidabilità e lo stesso dimensionamento della rete presente presso la sede di produzione. Il sito primario ed il sito di DR sono connessi tramite fibre ottiche dedicate e diversificate nei percorsi e nei fornitori utilizzati. Tutti i diritti riservati. Pagina 11 di 18

12 Tutti i dati necessari all attivazione dei sistemi e servizi in Disaster Recovery sono replicati nel sito secondario, nelle modalità sincrona o asincrona consistente, consentendo un Recovery Point Objective (RPO) che varia da zero a qualche minuto, sulla base degli SLA contrattuali e dei requisiti prestazionali definiti Coinvolgimento della clientela La completa realizzazione della Business Continuity non può prescindere dallo sviluppo di un rapporto di collaborazione diretto con la propria Clientela, che rende possibile l analisi, la definizione e l implementazione di tutte le misure congiunte per la gestione della Crisi e per il recupero dei servizi e delle tecnologie di supporto quali, ad esempio, linee, apparati di sicurezza e connessioni ai Circuiti Internazionali. In tal senso SIA concorda coi propri clienti le modalità di reciproca collaborazione, quali: la definizione degli RTO e degli RPO, le connessioni da utilizzare in caso di disastro, i riferimenti da contattare per le comunicazioni generali, le azioni da compiere in caso di attivazione dell infrastruttura tecnico-applicativa dal sito di Disaster Recovery, la pianificazione dei test. Per qualsiasi comunicazione inerente i servizi erogati, SIA mette a disposizione dei propri Clienti il servizio Service Desk, contattabile al numero: oppure tramite mail all indirizzo: Documentazione di Business Continuity e Disaster Recovery La documentazione emessa per il Sistema di Gestione della Business Continuity (BCMS) viene archiviata in elettronico sul sistema documentale aziendale. Al fine di avere a disposizione una copia della documentazione di Business Continuity e di Disaster Recovery in modo immediato anche in caso di emergenza o crisi, sono stati predisposti degli armadi destinati all archiviazione cartacea, presso i siti di Disaster Recovery Revisione del Sistema di Gestione della Business Continuity SIA effettua periodicamente, o a fronte di variazioni rilevanti, una revisione di tutto il Sistema di Gestione della Business Continuity (BCMS) per assicurare la sua rispondenza ed adeguatezza a fronte di cambiamenti normativi, organizzativi, strategici e legislativi. Tutti i diritti riservati. Pagina 12 di 18

13 7. EXERCISING, MAINTAINING AND REVIEWING 7.1 Cosa prevede la BS Un Business Continuity Management System non può considerarsi affidabile se non viene regolarmente testato ed aggiornato adeguatamente. Questa fase comprende tre attività: Esercitazioni Mantenimento Revisione 7.2 La realtà SIA Esercitazioni SIA effettua periodicamente test ed esercitazioni di Business Continuity e di Disaster Recovery, che possono essere di tipo: Organizzativo (ad esempio: test del Processo di gestione delle emergenze, test dei Business Continuity Plan,...) Logistico (prove di evacuazione degli edifici) Tecnologico (test di Disaster Recovery) SIA, in qualità di Infrastruttura Qualificata, partecipa inoltre a test di natura sistemica organizzati dal gruppo CODISE (Banca d Italia). I test di Business Continuity sono effettuati per verificare l efficacia e l efficienza del Processo di Gestione delle Emergenze, verificare l adeguatezza, la completezza e la funzionalità dei Business Continuity Plan e delle procedure a supporto, valutare la preparazione dei gruppi di gestione della Business Continuity e l efficacia del programma di awareness/training, sviluppare e diffondere la conoscenza e la sensibilità sulle tematiche di Business Continuity in azienda. I test di Disaster Recovery sono necessari per valutare la funzionalità e l efficienza delle strutture di backup delle infrastrutture tecnologiche e mantenere aggiornati gli skill delle persone coinvolte. Con cadenza annuale SIA predispone il Piano dei Test di Business Continuity e il Piano dei Test di Disaster Recovery Mantenimento SIA ha un processo di aggiornamento della documentazione grazie al quale ogni cambiamento, interno ed esterno, che abbia impatto sull azienda, viene recepito all interno della gestione della Business Continuity/Disaster Recovery. Tutti i diritti riservati. Pagina 13 di 18

14 7.2.3 Revisione SIA effettua periodicamente una revisione del proprio Business Continuity Management System al fine di verificare l efficacia, l efficienza e la continua adeguatezza dello stesso e delle relative politiche, strategie ed obiettivi e di identificare le eventuali necessità di adeguamento, attuando le opportune azioni correttive e di miglioramento. L attività di revisione del sistema si concretizza attraverso: il Riesame della Direzione (Management Review) le Verifiche Ispettive Interne periodiche le Verifiche Ispettive Esterne (Mantenimento della Certificazione con DNV) Il Riesame della Direzione viene periodicamente effettuato con la Direzione aziendale. Ha l obiettivo di verificare il grado di adeguatezza del Business Continuity Management System a seguito dell evoluzione delle regole e dei requisiti espressi negli standard di riferimento/normative e di individuare specifiche attività atte a garantirne il suo mantenimento. Con cadenza annuale SIA predispone il Piano annuale delle Verifiche Ispettive ed effettua le Verifiche Ispettive Interne. Tutti i diritti riservati. Pagina 14 di 18

15 8. EMBEDDING BCM IN THE ORGANIZATION S CULTURE 8.1 Cosa prevede la BS Per rafforzare e diffondere la cultura di Business Continuity in azienda, è necessario che il BCMS venga considerato un valore chiave per l azienda e venga sponsorizzato da parte del top management aziendale. Per fare ciò SIA svolge le seguenti attività: Educazione ed informazione (Awareness) Formazione (Training) Esercitazioni (Test/collaudo) 8.2 La realtà di SIA Awareness e Training Il successo del processo di Business Continuity dipende anche dalla consapevolezza da parte del personale aziendale dei processi e dei servizi nonché delle attività da svolgere per garantirne la continuità. A tal proposito, SIA ha un processo continuo di educazione ed informazione (Awareness) che permetta la diffusione della consapevolezza dell importanza del BCMS al personale dell azienda. La formazione (Training) è rivolta sia al management sia al personale operativo. SIA effettua formazione attraverso sessioni in aula, sessioni di training del personale preposto a incarichi specifici ed esercitazioni sulla base del Programma di awareness/training di Business Continuity sviluppato periodicamente. Tutti i diritti riservati. Pagina 15 di 18

16 9. ALLEGATO 1 - GLOSSARIO DI BUSINESS CONTINUITY MANAGEMENT Da: BS :2007 British standard-business Continuity Management - Part 2: Specification Terms activity audit business continuity business continuity management (BCM) business continuity management lifecycle business continuity management personnel business continuity management programme business continuity management response business continuity management system (BCMS) business continuity plan (BCP) business continuity strategy business impact analysis (BIA) Definitions process or set of processes undertaken by an organization (or on its behalf) that produces or supports one or more products or services systematic examination to determine whether activities and related results conform to planned arrangements and whether these arrangements are implemented effectively and are suitable for achieving the organization s policy and objectives strategic and tactical capability of the organization to plan for and respond to incidents and business disruptions in order to continue business operations at an acceptable pre-defined level holistic management process that identifies potential threats to an organization and the impacts to business operations that those threats, if realized, might cause, and which provides a framework for building organizational resilience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value creating activities series of business continuity activities which collectively cover all aspects and phases of the Business Continuity Management Programme those assigned responsibilities defined in the BCMS, those accountable for BCM policy and its implementation, those who implement and maintain the BCMS, those who use or invoke the business continuity and incident management plans, and those with authority during an incident ongoing management and governance process supported by top management and appropriately resourced to ensure that the necessary steps are taken to identify the impact of potential losses, maintain viable recovery strategies and plans, and ensure continuity of products and services through training, exercise, maintenance and review element of BCM concerned with the development and implementation of appropriate plans and arrangements to ensure continuity of critical activities, and the management of an incident that part of the overall management system that establishes, implements, operates, monitors, reviews, maintains and improves business continuity documented collection of procedures and information that is developed, compiled and maintained in readiness for use in an incident to enable an organization to continue to deliver its critical activities at an acceptable predefined level approach by an organization that will ensure its recovery and continuity in the face of a disaster or other major incident or business disruption process of analysing business functions and the effect that a business disruption might have upon them Tutti i diritti riservati. Pagina 16 di 18

17 Terms consequence cost-benefit analysis critical activities disruption emergency planning exercise gain impact incident incident management plan (IMP) internal audit invocation likelihood loss management system maximum tolerable period of disruption nonconformity organization process product and services recovery time objective resilience Definitions outcome of an incident that will have an impact on an organization s objectives financial technique that measures the cost of implementing a particular solution and compares this with the benefit delivered by that solution those activities which have to be performed in order to deliver the key products and services which enable an organization to meet its most important and time-sensitive objectives event, whether anticipated (eg. a labour strike or hurricane) or unanticipated (eg. blackout or earthquake), which causes an unplanned, negative deviation from the expected delivery of products or services according to the organization s objectives development and maintenance of agreed procedures to prevent, reduce, control, mitigate and take other actions in the event of a civil emergency activity in which the business continuity plan(s) is rehearsed in part or in whole to ensure that the plan(s) contains the appropriate information and produces the desired result when put into effect positive consequence evaluated consequence of a particular outcome situation that might be, or could lead to, a business disruption, loss, emergency or crisis clearly defined and documented plan of action for use at the time of an incident, typically covering the key personnel, resources, services and actions needed to implement the incident management process audit conducted by, or on behalf of, the organization itself for management review and other internal purposes, and which might form the basis for an organization s self-declaration of conformity act of declaring that an organization s business continuity plan needs to be put into effect in order to continue delivery of key products or services chance of something happening, whether defined, measured or estimated objectively or subjectively, or in terms of general descriptors (such as rare, unlikely, likely, almost certain), frequencies or mathematical probabilities negative consequence system to establish policy and objectives and to achieve those objectives duration after which an organization s viability will be irrevocably threatened if product and service delivery cannot be resumed non-fulfilment of a requirement group of people and facilities with an arrangement of responsibilities, authorities and relationships set of interrelated or interacting activities which transforms inputs into outputs beneficial outcomes provided by an organization to its consumers, recipients and stakeholders, eg manufactured items, car insurance, regulatory compliance and community nursing target time set for resumption of product, service or activity delivery after an incident ability of an organization to resist being affected by an incident Tutti i diritti riservati. Pagina 17 di 18

La Business Continuity in SIA

La Business Continuity in SIA Scopo del documento: Il presente documento descrive come SIA sviluppa, implementa e mantiene il proprio Sistema di Gestione della Continuità Operativa, in applicazione di quanto descritto nelle Linee Guida

Dettagli

La Business Continuity in SIA

La Business Continuity in SIA Scopo del documento: Il presente documento descrive come SIA sviluppa, implementa e mantiene il proprio Sistema di Gestione della Continuità Operativa, in applicazione di quanto descritto nelle Linee Guida

Dettagli

GL Solutions. da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato

GL Solutions. da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato ORBIT Overview GL Solutions da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato Associata al Consorzio ABILab Certificazioni BS25999 IBM Business

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES 1 CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT Il corso è finalizzato a illustrare in dettaglio le competenze richieste al Business Continuity Manager per guidare un progetto BCM e/o gestire

Dettagli

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Continuità operativa - FAQ

Continuità operativa - FAQ Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

MANDATO DELLA FUNZIONE AUDIT. (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015)

MANDATO DELLA FUNZIONE AUDIT. (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015) MANDATO DELLA FUNZIONE AUDIT (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015) 1 INDICE DEI CONTENUTI 1. INTRODUZIONE E FINALITA DEL DOCUMENTO 2. MISSIONE 3. AMBITO 4. PROFESSIONALITA

Dettagli

Procedura. Politica in materia di salute, sicurezza, ambiente, energia e incolumità pubblica. enipower. POL.HSE.pro-01_ep_r03. POL.HSE.

Procedura. Politica in materia di salute, sicurezza, ambiente, energia e incolumità pubblica. enipower. POL.HSE.pro-01_ep_r03. POL.HSE. Procedura Politica in materia di salute, sicurezza, ambiente, energia e incolumità pubblica. TITOLO PROCEDURA TITOLO PRPOCEDURA TITOLO PROCEDURA MSG DI RIFERIMENTO: HSE 1 Frontespizio TITOLO: Politica

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A.

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A. IL BS7799 Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it Sistemi Informativi S.p.A. ALCUNI CONCETTI FONDAMENTALI Sistemi Informativi S.p.A. 2 ATTIVITA DELLA SECURITY STUDIO, SVILUPPO ED

Dettagli

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA UNI EN ISO 9001 (ed. 2008) Revisione Approvazione n. 03 del 31/01/09 Salvatore Ragusa PROGETTO TECNICO SISTEMA QUALITA Il nostro progetto

Dettagli

MANUALE DELLA QUALITÀ Pag. 1 di 10

MANUALE DELLA QUALITÀ Pag. 1 di 10 MANUALE DELLA QUALITÀ Pag. 1 di 10 INDICE IL SISTEMA DI GESTIONE DELLA QUALITÀ Requisiti generali Responsabilità Struttura del sistema documentale e requisiti relativi alla documentazione Struttura dei

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

N 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti.

N 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti. ERRATA CORRIGE N 1 alla versione bilingue (italiano-inglese) DEL 31 luglio 2009 NORMA UNI EN ISO 9001 (novembre 2008) TITOLO Sistemi di gestione per la qualità - Requisiti Punto della norma Pagina Oggetto

Dettagli

Tanta fatica solo per un bollino ne vale davvero la pena?

Tanta fatica solo per un bollino ne vale davvero la pena? Tanta fatica solo per un bollino ne vale davvero la pena? Relatori: Paolo SFERLAZZA Alberto PERRONE Relatori Paolo Sferlazza Security Advisor CISA,LA27001,LA22301,OPST, COBIT 5, ITIL,LA9001,ISFS, ITSM,ISMA

Dettagli

Strategie e processi per salvaguardare il valore aziendale

Strategie e processi per salvaguardare il valore aziendale Business Continuity Strategie e processi per salvaguardare il valore aziendale A cura di: Alfredo Bertini Governance, Quality & Safety Manager Direzione Legal, Governance & Compliance Agenda: Roche Italy

Dettagli

Politica del Sistema di Gestione Salute, Sicurezza e Ambiente (Politica HSE)

Politica del Sistema di Gestione Salute, Sicurezza e Ambiente (Politica HSE) Procedura Politica del Sistema di Gestione Salute, Sicurezza e Ambiente (Politica HSE) TITOLO PROCEDURA TITOLO PRPOCEDURA TITOLO PROCEDURA MSG DI RIFERIMENTO: MSG HSE 1 Questo pro hse documento 009 eniservizi

Dettagli

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301. P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301. P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a CERTIQUALITY La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301 Dott. Nicola Gatta Direzione Marketing & Industry Management

Dettagli

MANDATO DI AUDIT DI GRUPPO

MANDATO DI AUDIT DI GRUPPO MANDATO DI AUDIT DI GRUPPO Data: Ottobre, 2013 UniCredit Group - Public MISSION E AMBITO DI COMPETENZA L Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è parte

Dettagli

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo IX Convention ABI L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo BPR e BCM: due linee di azione per uno stesso obiettivo Ing. Alessandro Pinzauti Direttore

Dettagli

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi 3 Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi 1. Premessa Il Sistema di Controllo Interno e di Gestione dei Rischi di Fiat S.p.A. (la Società ) costituisce elemento

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

La Governance come strumento di valorizzazione dell'it verso il business

La Governance come strumento di valorizzazione dell'it verso il business La Governance come strumento di valorizzazione dell'it verso il business Livio Selvini HP IT Governance Senior Consultant Vicenza, 24 novembre Hewlett-Packard Development Company, L.P. The information

Dettagli

EasyGov Solutions Srl. Start-up del Politecnico di Milano

EasyGov Solutions Srl. Start-up del Politecnico di Milano EasyGov Solutions Srl Start-up del Politecnico di Milano Continuità Operativa ICT e Disaster Recovery 2 Il contesto - 1 Continuità operativa Generale Persone, Impianti, Infrastrutture, documenti, norme,

Dettagli

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

Vision strategica della BCM

Vision strategica della BCM Vision strategica della BCM BCM Ticino Day 2015 Lugano 18 settembre 2015 Susanna Buson Business Continuity Manager and Advisor CBCP, MBCI Agenda Business Continuity vs Business Resilience Business Continuity

Dettagli

CERTIQUALITY. Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity

CERTIQUALITY. Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity Per una migliore qualità della vita CERTIQUALITY Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity Dott. Nicola Gatta Direzione

Dettagli

Per offrire soluzioni di Risk Management

Per offrire soluzioni di Risk Management REAL LOGISTICA ESTATE per consulting è la società di consulenza del gruppo per che opera nell ambito del Risk Management. I servizi offerti, che vanno dall Analisi del rischio al Disaster Recovery Plan,

Dettagli

La condensazione della nuvola

La condensazione della nuvola La condensazione della nuvola BS ISO/IEC 27001: 2005 e cloud computing Come si trattano i gas? Rendendoli liquidi Comprimendoli e inserendoli in contenitori CONDENSANDOLI allora possono essere trattati,

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

Sicurezza informatica. Strumento basilare per la business continuity

Sicurezza informatica. Strumento basilare per la business continuity Sicurezza informatica Strumento basilare per la business continuity CLUSIT- Associazione Italiana per la Sicurezza Informatica Associazione "no profit" con sede presso l'università degli studi di Milano,Dipartimento

Dettagli

La norma UNI EN ISO 14001:2004

La norma UNI EN ISO 14001:2004 La norma COS È UNA NORMA La normazione volontaria Secondo la Direttiva Europea 98/34/CE del 22 giugno 1998: "norma" è la specifica tecnica approvata da un organismo riconosciuto a svolgere attività normativa

Dettagli

Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015

Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015 Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015 I requisiti per la gestione del rischio presenti nel DIS della nuova ISO 9001:2015 Alessandra Peverini Perugia 9/09/2014 ISO

Dettagli

I Sistemi Gestione Energia e il ruolo dell energy manager

I Sistemi Gestione Energia e il ruolo dell energy manager I Sistemi Gestione Energia e il ruolo dell energy manager Valentina Bini, FIRE 27 marzo, Napoli 1 Cos è la FIRE La Federazione Italiana per l uso Razionale dell Energia è un associazione tecnico-scientifica

Dettagli

www.fire-italia.org Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona

www.fire-italia.org Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona La norma ISO 50001 Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona I problemi dell energy management Fondamentalmente l EM è richiesto per risparmiare sui costi aziendali. Costi sempre

Dettagli

DELIBERA n. 11/13 della seduta del 31 luglio 2013

DELIBERA n. 11/13 della seduta del 31 luglio 2013 DELIBERA n. 11/13 della seduta del 31 luglio 2013 Definizione degli indirizzi in materia di certificazione di qualità delle imprese che effettuano trasporti di merci pericolose, di derrate deperibili,

Dettagli

5.1.1 Politica per la sicurezza delle informazioni

5.1.1 Politica per la sicurezza delle informazioni Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.

Dettagli

SPAI di Puclini Carlo

SPAI di Puclini Carlo CARTA DELLA QUALITÀ DELL OFFERTA FORMATIVA INDICE 1. LIVELLO STRATEGICO 1.1 Politica della Qualità 2. LIVELLO ORGANIZZATIVO 2.1 Servizi formativi offerti 2.2 Dotazione di risorse professionali e logistico

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

MANDATO INTERNAL AUDIT

MANDATO INTERNAL AUDIT INTERNAL AUDIT MANDATO INTERNAL AUDIT Il presente Mandato Internal Audit di Società, previo parere favorevole del Comitato Controllo e Rischi in data 30 ottobre 2012 e sentito il Collegio Sindacale e l

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

Università di Macerata Facoltà di Economia

Università di Macerata Facoltà di Economia Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia 01 Angelo Micocci: fonti e definizioni 1 Obiettivo della lezione Internal Control

Dettagli

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004)

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dott. Marco SALVIA IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dr. Marco SALVIA 1 Perché gestire la variabile ambientale in azienda? 1. Perché rappresenta

Dettagli

Company Management System SIA - Processi e Sistemi di Gestione

Company Management System SIA - Processi e Sistemi di Gestione Company Management System SIA - Processi e Sistemi di Gestione Redatto da: Verificato da: Approvato da: Stefano Canetta RGO Lorenzo Verducci HRO Alessandra Carazzina RGO David Neumarker HRO Marco Ornito

Dettagli

Procedure d emergenza e Business Continuity Plan. Dott. Ing. Alfiero Ortali Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia

Procedure d emergenza e Business Continuity Plan. Dott. Ing. Alfiero Ortali Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia Procedure d emergenza e Business Continuity Plan Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia Loreto Ottobre 2011 La business continuity è in sostanza l insieme di attività

Dettagli

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management 2015 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Framework Lo standard

Dettagli

ISO 45001. il nuovo ponte tra sicurezza e innovazione. Comprendere il cambiamento

ISO 45001. il nuovo ponte tra sicurezza e innovazione. Comprendere il cambiamento ISO 45001 il nuovo ponte tra sicurezza e innovazione Comprendere il cambiamento Premessa L art. 30 del Testo Unico della Sicurezza dice chiaramente che i modelli di organizzazione aziendale definiti conformemente

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

IS Governance in action: l esperienza di eni

IS Governance in action: l esperienza di eni IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo

Dettagli

Processi di Gestione dei Sistemi ICT

Processi di Gestione dei Sistemi ICT Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,

Dettagli

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro Alberto Alberto ANDREANI ANDREANI Via Mameli, 72 int. 201/C Via Mameli, 72 int. 201/C 61100 PESARO Tel. 0721.403718 61100 PESARO Tel. 0721.403718 e.mail andreani@pesaro.com e.mail andreani@pesaro.com Guida

Dettagli

Urbi DR-ASP. Descrizione servizio di DR per ASP. Aprile 2012

Urbi DR-ASP. Descrizione servizio di DR per ASP. Aprile 2012 Urbi DR-ASP Aprile 2012 Descrizione servizio di DR per ASP PA DIGITALE Spa Documento Riservato Ultima Revisione luglio 2012 E fatto divieto la copia, la riproduzione e qualsiasi uso di questo P.1/3 Premessa...

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

Continuità operativa e disaster recovery nella pubblica amministrazione

Continuità operativa e disaster recovery nella pubblica amministrazione Continuità operativa e disaster recovery nella pubblica amministrazione DEFINIZIONI Linee Guida per il DR delle PA, DigitPA 2011 Continuità Operativa (CO) Continuità Operativa: l insieme delle attività

Dettagli

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data: 03.12. Learning Center Engineering Management INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Autore: Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.2007 VIA

Dettagli

LA NORMA OHSAS 18001 E IL TESTO UNICO SULLA SICUREZZA 81/2008: IMPATTO SUL SISTEMA SANZIONATORIO

LA NORMA OHSAS 18001 E IL TESTO UNICO SULLA SICUREZZA 81/2008: IMPATTO SUL SISTEMA SANZIONATORIO LA NORMA OHSAS 18001 E IL TESTO UNICO SULLA SICUREZZA 81/2008: IMPATTO SUL SISTEMA SANZIONATORIO Studio Candussi & Partners novembre 2008 Lo Studio Candussi & Partners Lo Studio opera dal 1998 con consulenti

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

Modello dei controlli di secondo e terzo livello

Modello dei controlli di secondo e terzo livello Modello dei controlli di secondo e terzo livello Vers def 24/4/2012_CLEN INDICE PREMESSA... 2 STRUTTURA DEL DOCUMENTO... 3 DEFINIZIONE DEI LIVELLI DI CONTROLLO... 3 RUOLI E RESPONSABILITA DELLE FUNZIONI

Dettagli

La Nuova Immagine snc Partita IVA 04297941009

La Nuova Immagine snc Partita IVA 04297941009 CARTA DELLA QUALITÀ DELL OFFERTA FORMATIVA INDICE pag 1. LIVELLO STRATEGICO 3 1.1 Politica della Qualità 3 1.2 Responsabilità della Direzione 4 1.3 Organizzazione orientata al Cliente 4 1.4 Coinvolgimento

Dettagli

Preaudit Sicurezza / Ambiente. General Risk Assessment

Preaudit Sicurezza / Ambiente. General Risk Assessment General Risk Assessment Conduzione di un General Risk Assessment in coerenza con i requisiti ISO 9001:2015. nel 2015 verrà pubblicata la nuova UNI EN ISO 9001 che avrà sempre più un orientamento alla gestione

Dettagli

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza 1 I modelli di gestione per la qualità I modelli normativi I modelli per l eccellenza Entrambi i modelli si basano sull applicazione degli otto principi del TQM 2 I modelli normativi I modelli normativi

Dettagli

Norme per l organizzazione - ISO serie 9000

Norme per l organizzazione - ISO serie 9000 Norme per l organizzazione - ISO serie 9000 Le norme cosiddette organizzative definiscono le caratteristiche ed i requisiti che sono stati definiti come necessari e qualificanti per le organizzazioni al

Dettagli

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale;

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale; Presentazione Blu Consulting è una società di consulenza direzionale certificata ISO 9001:2008, fondata da Mauro Masciarelli nel 2009, specializzata nella revisione delle strategie di business, adeguamento

Dettagli

Seminario tecnico - Commissione ICT L affidabilità delle strutture ICT critiche

Seminario tecnico - Commissione ICT L affidabilità delle strutture ICT critiche Seminario tecnico - Commissione ICT L affidabilità delle strutture ICT critiche Parte 2 - Architetture ICT e soluzioni organizzative per BC e DR, standard, normativa banche e PA Lead Auditor ISO 22301

Dettagli

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

Dettagli

Company Management System SIA - Processi e Sistemi di Gestione. Dominio di Applicazione

Company Management System SIA - Processi e Sistemi di Gestione. Dominio di Applicazione Company Management System SIA - Processi e Sistemi di Gestione Codice Documento Classificazione Dominio di Applicazione Pubblica SIA SOMMARIO SOMMARIO... 2 1 OBIETTIVO DEL DOCUMENTO... 4 2 PRESENTAZIONE

Dettagli

UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori

UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori Struttura della norma ISO/IEC 17025 1. Scopo 2. Riferimenti normativi 3. Termini e definizioni 4. Requisiti gestionali

Dettagli

Proteggere il proprio business. ISO 22301: continuità operativa.

Proteggere il proprio business. ISO 22301: continuità operativa. Proteggere il proprio business. ISO 22301: continuità operativa. Perché BSI? Grazie allo standard ISO 22301 l azienda può restare sempre operativa. La competenza di BSI in quest ambito può trasformare

Dettagli

MANUALE DELLA QUALITÀ Pag. 1 di 6

MANUALE DELLA QUALITÀ Pag. 1 di 6 MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

La Guida ANFIA sul BCM Una presentazione in 7 punti. M. Terzago, SKF Group, Coordinatore GdL ANFIA G. Celeri, Marsh Risk Consulting, Membro GdL ANFIA

La Guida ANFIA sul BCM Una presentazione in 7 punti. M. Terzago, SKF Group, Coordinatore GdL ANFIA G. Celeri, Marsh Risk Consulting, Membro GdL ANFIA La Guida ANFIA sul BCM Una presentazione in 7 punti M. Terzago, SKF Group, Coordinatore GdL ANFIA G. Celeri, Marsh Risk Consulting, Membro GdL ANFIA Milano, 15 Giugno, 2015 1) PERCHÈ QUESTA NUOVA GUIDA

Dettagli

L attività dell Internal Audit. G.M. Mirabelli

L attività dell Internal Audit. G.M. Mirabelli L attività dell Internal Audit G.M. Mirabelli Milano 13 ottobre 2006 Obiettivi della presentazione Evidenziare i compiti che nel nuovo Codice di autodisciplina sono assegnati all Internal Auditing, se

Dettagli

PEOPLE CARE. Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione.

PEOPLE CARE. Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione. La Compagnia Della Rinascita PEOPLE CARE Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione. PEOPLE CARE Un equipe di professionisti che si

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009 Insight N. 24 Maggio 2009 Gestire e comunicare la crisi: un caso di successo Il termine crisi suggerisce istintivamente un momento, nella vita di una persona o di un azienda, dalle conseguenze non prevedibili

Dettagli

Auditorium dell'assessorato Regionale Territorio e Ambiente

Auditorium dell'assessorato Regionale Territorio e Ambiente Auditorium dell'assessorato Regionale Territorio e Ambiente Università degli Studi di Palermo Prof. Gianfranco Rizzo Energy Manager dell Ateneo di Palermo Plan Do Check Act (PDCA) process. This cyclic

Dettagli

DM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI

DM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI DM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI Articolo 1 (Campo di applicazione) Il presente decreto si

Dettagli

Business continuity per la PA, G. Pontevolpe

Business continuity per la PA, G. Pontevolpe Business continuity per la PA Ing. Gianfranco Pontevolpe Centro Nazionale per l Informatica nella Pubblica Amministrazione Programma Generalità sul disaster recovery Disaster recovery e sicurezza Aspetti

Dettagli

UNICA nasce dal desiderio di vedere la sicurezza come valore nella vita di ognuno e come condizione necessaria per una realtà lavorativa sana e di

UNICA nasce dal desiderio di vedere la sicurezza come valore nella vita di ognuno e come condizione necessaria per una realtà lavorativa sana e di UNICA nasce dal desiderio di vedere la sicurezza come valore nella vita di ognuno e come condizione necessaria per una realtà lavorativa sana e di successo. Non solo come risposta ad un adempimento di

Dettagli

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP) SERVIZI PMI Project management outsourcing La vita (dell IT) è quella cosa che succede mentre siamo impegnati a fare tutt altro e quindi spesso capita di dover implementare una nuova piattaforma applicativa,

Dettagli

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità 1 I modelli di gestione per la qualità I modelli normativi I modelli per l eccellenza Entrambi i modelli si basano sull applicazione degli otto principi del TQM 2 I modelli normativi I modelli normativi

Dettagli

CARTA DELLA QUALITÀ DELL OFFERTA FORMATIVA. 1.1 Politica della Qualità 3. 1.2 Responsabilità della Direzione 4

CARTA DELLA QUALITÀ DELL OFFERTA FORMATIVA. 1.1 Politica della Qualità 3. 1.2 Responsabilità della Direzione 4 CARTA DELLA QUALITÀ DELL OFFERTA FORMATIVA INDICE pag 1. LIVELLO STRATEGICO 3 1.1 Politica della Qualità 3 1.2 Responsabilità della Direzione 4 1.3 Organizzazione orientata al Cliente 4 1.4 Coinvolgimento

Dettagli

Direzione Centrale Sistemi Informativi

Direzione Centrale Sistemi Informativi Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer

Dettagli

Business Continuity Governance: ORBIT per il nuovo CAD

Business Continuity Governance: ORBIT per il nuovo CAD Business Continuity Governance: ORBIT per il nuovo CAD Il nuovo CAD articolo 50-bis E obbligatorio per le Pubbliche Amministrazioni italiane la definizione di : UN PIANO DI CONTINUITÀ OPERATIVA che fissa

Dettagli

La gestione del rischio controparti

La gestione del rischio controparti Risk Assurance Services www.pwc.com/it La gestione del rischio controparti Un esigenza da presidiare per la tutela della reputazione e del valore aziendale La reputazione è un asset strategico da valorizzare,

Dettagli

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma Il Risk Management Integrato in eni Stefano Leofreddi Senior Vice President Risk Management Integrato 1 Ottobre 2014, Roma Indice - Sviluppo del Modello RMI - Governance e Policy - Processo e Strumenti

Dettagli

2 Congresso Nazionale Banche Club TI

2 Congresso Nazionale Banche Club TI 2 Congresso Nazionale Banche Club TI Verona 24 giugno 2005 Gianpietro Ravasio Direttore Tecnologia e Gestione Produzione 1 Auditorium del Banco Popolare di Verona e Novara Centro Servizi - Via Meucci,

Dettagli

BILANCIO SOCIALE: CONTENUTI E METODI DI RENDICONTAZIONE. Claudia Strasserra Bureau Veritas Italia SpA

BILANCIO SOCIALE: CONTENUTI E METODI DI RENDICONTAZIONE. Claudia Strasserra Bureau Veritas Italia SpA BILANCIO SOCIALE: CONTENUTI E METODI DI RENDICONTAZIONE Claudia Strasserra Bureau Veritas Italia SpA I 3 elementi chiave: il prodotto, il processo, la cultura RESPONSABILITA SOCIALE ACCOUNTABILITY RENDICONTAZIONE

Dettagli