Company Management System La Business Continuity in SIA

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Company Management System La Business Continuity in SIA"

Transcript

1 Company Management System La Business Continuity in SIA Codice documento: Classificazione: Società Progetto/Servizio Anno N. Doc Versione Pubblica

2 SOMMARIO 1. INTRODUZIONE IL BUSINESS CONTINUITY MANAGEMENT SYSTEM DI SIA E LO STANDARD DI RIFERIMENTO BCM PROGRAMME MANAGEMENT Cosa prevede la BS La realtà SIA UNDERSTANDING THE ORGANIZATION Cosa prevede la BS La realtà SIA Business Impact Analysis Risk Assessment DETERMINING BCM STRATEGY Cosa prevede la BS La Business Continuity in SIA DEVELOPING AND IMPLEMENTING BCM RESPONSE Cosa prevede la BS La realtà SIA Soluzioni organizzative: Processo di Gestione delle Emergenze e dello Stato di Crisi Soluzioni organizzative: i Business Continuity Plan (BCP) delle Direzioni/Divisioni Soluzioni organizzative: i Disaster Recovery Plan (DRP) Soluzioni logistiche Soluzioni tecnologiche Coinvolgimento della clientela Documentazione di Business Continuity e Disaster Recovery Revisione del Sistema di Gestione della Business Continuity EXERCISING, MAINTAINING AND REVIEWING Cosa prevede la BS La realtà SIA Esercitazioni Mantenimento Revisione EMBEDDING BCM IN THE ORGANIZATION S CULTURE Cosa prevede la BS La realtà di SIA Awareness e Training ALLEGATO 1 - GLOSSARIO DI BUSINESS CONTINUITY MANAGEMENT Tutti i diritti riservati. Pagina 2 di 18

3 1. INTRODUZIONE SIA pone grande attenzione alla Business Continuity quale elemento cruciale per l erogazione dei propri servizi nel pieno rispetto di quanto definito nei contratti con i clienti, delle Linee Guida di Banca d Italia e, più in generale, in coerenza con le metodologie e gli standard internazionali di riferimento. In tal senso ha sviluppato e mantiene un Business Continuity Management System, ovvero un sistema che contempla soluzioni logistiche, organizzative e tecnologiche. Tale sistema è in grado di supportare efficacemente e tempestivamente l organizzazione a fronte di una situazione di emergenza. L obiettivo principale del Business Continuity Management System di SIA è quello di garantire che l organizzazione sia in grado di reagire a fronte di eventi dannosi che ne minacciano la sopravvivenza o l immagine. I principi che stabiliscono le priorità nella gestione dell emergenza/crisi e che orientano le decisioni sono: proteggere la vita e l incolumità delle persone; prevenire ulteriori conseguenze derivanti dall'incidente di origine; proteggere la continuità del business e tutelare il patrimonio di immagine dell azienda; cooperare alla garanzia di continuità di erogazione del sistema creditizio - finanziario; salvaguardare i beni di cui l azienda ha la disponibilità o la responsabilità, nel rispetto dell ambiente. Tali principi sono coerenti con le Linee Guida per la continuità di servizio delle infrastrutture qualificate dei sistemi di pagamento di Banca d Italia e con le best practice e gli standard quali il BS e l ISO Gestire la Business Continuity per SIA significa: guidare le scelte in situazioni di emergenza e di crisi, definire i piani, le procedure e le risorse tecniche, umane e logistiche per assicurare la Business Continuity dell azienda in situazioni di emergenza e di crisi, reagire con prontezza per ridurre il tempo di interruzione dei processi di business e garantirne il ripristino in modo efficace. Tutti i diritti riservati. Pagina 3 di 18

4 2. IL BUSINESS CONTINUITY MANAGEMENT SYSTEM DI SIA E LO STANDARD DI RIFERIMENTO SIA ha adottato lo standard BS per lo sviluppo del proprio Business Continuity Management System e nel corso del 2008 ha ottenuto la certificazione BS 25999, tramite terza parte qualificata, per l intero perimetro aziendale. Il ciclo di vita del Business Continuity Management System si compone di sei fasi: 1. BCM Programme management 2. Understanding the organization 3. Determining BCM strategy 4. Developing and implementing BCM response 5. Exercising, maintaining and reviewing 6. Embedding BCM in the organization s culture Le fasi, che non sono necessariamente consequenziali, ma comunque da ripetere periodicamente nel tempo, sono schematizzate come segue: Understanding the organization Exercising, maintaining and reviewing BCM Programme management Determining BCM strategy Developing and implementing BCM response A maggio 2012 è stata pubblicata la nuova norma ISO 22301:2012 Societal security Business Continuity Management System Requirements, con la quale la BS è stata recepita dall International Standard Organization. SIA sta lavorando al passaggio dalla BS alla nuova norma, pianificato per il Nei capitoli successivi, per ogni fase dello standard, sono descritte le modalità con cui SIA si è organizzata per essere conforme allo stesso. Tutti i diritti riservati. Pagina 4 di 18

5 3. BCM PROGRAMME MANAGEMENT 3.1 Cosa prevede la BS Il BCM Programme Management è il processo continuo di gestione e di governo che, supportato dalla Direzione Aziendale e da un adeguata allocazione di risorse, garantisce che vengano intrapresi i passi necessari al fine di identificare l impatto di potenziali perdite, di mantenere praticabili i piani e le strategie di ripristino e di assicurare la continuità dei prodotti e dei servizi mediante programmi di formazione, test, esercitazioni e costanti attività di aggiornamento e revisione. 3.2 La realtà SIA SIA si è strutturata identificando ruoli e responsabilità al proprio interno per fronteggiare problematiche organizzative (Business Continuity), tecnologiche (Disaster Recovery) e logistiche. Inoltre ha definito un Comitato Guida di Business Continuity/ Disaster Recovery per il coordinamento del master plan degli interventi in materia di Business Continuity/ Disaster Recovery: tale Comitato aggiorna periodicamente l Alta Direzione aziendale. Infine, alle dirette dipendenze della Presidenza, è definita la funzione di Auditing, che interviene sui programmi di Business Continuity e Disaster Recovery con proprie azioni di verifiche indipendenti, valutazioni, pareri e osservazioni. Tutti i diritti riservati. Pagina 5 di 18

6 4. UNDERSTANDING THE ORGANIZATION 4.1 Cosa prevede la BS Scopo di questa fase è favorire la comprensione dell azienda attraverso l identificazione dei suoi servizi chiave e delle sue attività critiche, nonché delle risorse necessarie per il loro mantenimento. Tale analisi è volta a garantire che il programma di gestione della Business Continuity sia allineato alla missione aziendale, ai vincoli normativi ed agli accordi con i clienti. Il perseguimento di tale obiettivo si concretizza attraverso l esecuzione delle seguenti attività: Business Impact Analysis Risk Assessment 4.2 La realtà SIA Business Impact Analysis La Business Impact Analysis (BIA) è la valutazione dell impatto sul business in caso di eventi di rilievo che possono compromettere le attività aziendali e l erogazione dei servizi. Al fine di indirizzare appropriate soluzioni di Business Continuity, vengono identificati i requisiti di ripartenza dei servizi. SIA produce la Business Impact Analysis con l obiettivo di: censire i servizi rilevanti per il business aziendale identificare gli impatti legati all indisponibilità del servizio identificare i tempi di ripristino a livello contrattuale/normativo identificare i servizi maggiormente critici identificare quali attività hanno la necessità di essere ripristinate in un momento successivo. La BIA di SIA riporta, principalmente, l analisi dei servizi di business e l individuazione delle attività critiche utilizzando i parametri di valutazione che tengono conto di vincoli a livello normativo, vincoli contrattuali con i clienti, rilevanza del servizio/attività per il business aziendale, rilevanza strategica del servizio/attività per l azienda. La BIA di SIA viene aggiornata con frequenza annuale con le informazioni fornite dalle strutture aziendali coinvolte e resa disponibile all azienda per la predisposizione dei piani di Disaster Recovery Risk Assessment Il Risk Assessment è finalizzato all individuazione ed alla valutazione delle minacce che possono colpire gli asset aziendali provocandone l indisponibilità per un periodo di tempo più o meno prolungato. Con l effettuazione del Risk Assessment SIA si propone i seguenti principali obiettivi: Identificare gli eventi che potrebbero comportare la perdita di riservatezza, integrità, disponibilità e conformità dei servizi/processi aziendali Tutti i diritti riservati. Pagina 6 di 18

7 Riconoscere e gestire le vulnerabilità presenti, gestendo il rischio derivante dall accadimento di eventi individuati quali possibili minacce. Il processo e la metodologia di analisi dei rischi di sicurezza di SIA sono basati sulle indicazioni dello standard BS e sul modello di riferimento CobiT (Processo PO9 Assess Risk). I rischi, calcolati sui parametri di sicurezza Riservatezza, Integrità, Disponibilità e Conformità, vengono analizzati dalle parti coinvolte ed uno specifico Comitato Sicurezza decide il loro trattamento basandosi sulla valutazione del giusto equilibrio fra necessità di business, di costo, tecnologiche e di sicurezza, ovvero: mitigare i rischi attraverso l identificazione delle azioni, responsabilità e priorità di intervento accettare i rischi in modo consapevole evitare i rischi trasferire i rischi a terze parti. Sulla base delle decisioni assunte, viene predisposto il Piano di Trattamento dei Rischi di Sicurezza, che viene sistematicamente monitorato ed aggiornato sulla base delle indicazioni fornite dal Comitato Sicurezza. Vengono inoltre periodicamente effettuate: Analisi e gestione dei rischi di sicurezza dei processi e delle infrastrutture volti all'erogazione dei servizi di business aziendali Analisi dei rischi di sicurezza fisica e safety. Tutti i diritti riservati. Pagina 7 di 18

8 5. DETERMINING BCM STRATEGY 5.1 Cosa prevede la BS Le attività di questa fase permettono all organizzazione di determinare una adeguata strategia di Business Continuity che le consenta di garantire una risposta appropriata per ciascun servizio, in termini di livelli operativi e di tempi di ripristino accettabili, durante e dopo un evento dannoso. 5.2 La Business Continuity in SIA SIA annualmente sottopone per approvazione al proprio Consiglio di Amministrazione il Piano di Business Continuity che comprende la strategia aziendale, le azioni effettuate e quelle da effettuare. La strategia di Business Continuity di SIA si basa sui seguenti principi guida: Adozione di un modello di Business Continuity che venga riconosciuto come un valido riferimento a livello internazionale. SIA ha scelto come riferimento lo standard BS e la metodologia del Business Continuity Institute (BCI) Articolazione degli obiettivi di Business Continuity per i vari servizi in modo coerente con i contratti commerciali con i clienti e con i requisiti dettati dagli Organismi di Vigilanza Identificazione di soluzioni tecniche ed organizzative adeguate Definizione di un piano pluriennale di Business Continuity che prevede test ripetuti al fine di garantire l adeguatezza e l aggiornamento continuo delle soluzioni adottate Utilizzo del TOR Terms of Reference di Banca d Italia quale strumento di controllo per la verifica dell adeguatezza dell impianto di Business Continuity. Tutti i diritti riservati. Pagina 8 di 18

9 6. DEVELOPING AND IMPLEMENTING BCM RESPONSE 6.1 Cosa prevede la BS Obiettivo della fase di Sviluppo e Realizzazione della Risposta di Business Continuity (Developing and Implementing BCM Response) è garantire che la struttura aziendale sviluppi piani, istruzioni e processi e renda disponibili locali ed apparecchiature in modo tale da essere in grado di gestire prontamente gli incidenti e le crisi. La struttura deve permettere di: confermare la natura e l estensione dell incidente dare l avvio ad un appropriata risposta di Business Continuity avere piani, processi e procedure per l attivazione, il coordinamento, la comunicazione, la gestione e la chiusura dell emergenza avere a disposizione le risorse per supportare i piani, i processi e le procedure nella gestione dell incidente comunicare con gli stakeholder, ovvero i principali attori coinvolti. Lo sviluppo e l attuazione di una risposta di Business Continuity derivano dalla creazione di un modello di gestione e da una struttura di gestione dell evento disastroso, di piani di Business Continuity e Disaster Recovery che dettagliano i passi da compiere durante e dopo un incidente per conservare o ripristinare l operatività. 6.2 La realtà SIA Per essere pronta ad affrontare una situazione di emergenza e/o crisi nel migliore dei modi SIA ha sviluppato le seguenti tipologie di soluzioni: Organizzative Logistiche Tecnologiche Soluzioni organizzative: Processo di Gestione delle Emergenze e dello Stato di Crisi SIA ha definito la struttura organizzativa necessaria al fine di gestire la procedura di escalation per la valutazione e l eventuale dichiarazione dello Stato di Crisi e quindi l attivazione di gruppi operativi di Business Continuity. Ha inoltre predisposto un Processo di Gestione delle Emergenze e dello Stato di Crisi al fine di descrivere le modalità di attivazione, le responsabilità ed i contatti necessari per gestire una situazione di emergenza e/o crisi in azienda. Il flusso descrittivo, di seguito riportato, mette in evidenza le modalità di attivazione dei Gruppi di Gestione della Business Continuity, le relative responsabilità e le modalità di trasferimento delle informazioni all interno ed all esterno dell azienda. Tutti i diritti riservati. Pagina 9 di 18

10 Il Processo di Gestione delle Emergenze e dello Stato di Crisi è caratterizzato da cinque fasi: Analisi dell Evento, Attivazione delle Unità di Crisi, Reazione, Gestione dello Stato di Crisi e Chiusura dello Stato di Crisi. Le condizioni aziendali di emergenza e/o crisi possono scaturire dall evoluzione di due tipologie di eventi: ICT e NO ICT. Per ICT si intende tutto ciò che concerne gli aspetti tecnologici, applicativi e operativi necessari per l erogazione dei servizi (di competenza dell ICT Incident Analysis Team). Per NO ICT si intende tutto ciò che concerne gli aspetti quali la sicurezza fisica, la logistica e gli impianti ausiliari (di competenza del Physical Incident Analysis Team) e gli aspetti di tipo organizzativo quali le problematiche relative al personale, alla sfera legale, all amministrazione, ai Media, ecc.. (di competenza dell Organizational Incident Analysis Team). Le azioni da porre in essere e le relative responsabilità di esecuzione quando in azienda è dichiarato uno stato di emergenza che impone l evacuazione dello stabile o di alcune zone per preservare l incolumità delle persone sono descritte in uno specifico Piano di emergenza per l incolumità delle persone e l evacuazione, che viene rivisto periodicamente Soluzioni organizzative: i Business Continuity Plan (BCP) delle Direzioni/Divisioni Il Processo di Gestione delle Emergenze e dello Stato di Crisi attiva i Business Continuity Plan (BCP) delle Direzioni/Divisioni. I Business Continuity Plan descrivono le modalità organizzative che ogni Direzione/Divisione deve seguire Tutti i diritti riservati. Pagina 10 di 18

11 per il ripristino e il controllo dei propri servizi a seguito della Dichiarazione dello Stato di Crisi in azienda da parte dell Amministratore Delegato. Nei Business Continuity Plan sono descritti gli scenari di disastro ipotizzati, la gestione dei contatti e delle comunicazioni durante l emergenza o crisi (risorse interne, fornitori, clienti, società partecipate/controllate), le azioni di contenimento e/o di contrasto ipotizzate per ogni scenario e la documentazione di riferimento. Inoltre, nei Business Continuity Plan sono riportati i nominativi del personale operativo da coinvolgere Soluzioni organizzative: i Disaster Recovery Plan (DRP) SIA ha predisposto e mantiene i Disaster Recovery Plan, insieme di documenti redatti per il ripristino delle infrastrutture tecniche ed applicative che descrivono le modalità e la tempistica di riattivazione presso il sito di Disaster Recovery Soluzioni logistiche Al fine di tutelarsi a fronte di eventi che possano minacciare la sicurezza dell azienda, SIA si è dotata di una sede attrezzata con le più moderne e sofisticate misure di sicurezza fisica, quali ad esempio un sistema di controllo accessi, intrusion detection, difesa perimetrale, rilevamento allagamenti e infiltrazioni, rilevazione fumo, antincendio, sistema di telecamere a circuito chiuso, gruppi di continuità. Inoltre, l edificio è costruito secondo norme antisismiche e l approvvigionamento dell energia elettrica avviene da due centrali elettriche differenti. Oltre a quanto sopra descritto, per rispondere in modo adeguato al verificarsi di un evento di tipo disastroso, SIA si è dotata di più sedi di lavoro (sulle quali sono dislocate le macchine e le risorse umane) e di un sito di Disaster Recovery al di fuori dell area urbana, dove è installata l infrastruttura necessaria per gestire la ripartenza dei servizi in caso di evento disastroso (per i servizi ritenuti critici dall azienda e per quelli contrattualizzati con i clienti); in sale distinte sono infatti dislocate apparecchiature di rete, macchine di sicurezza, dispositivi per la rete locale e altre apparecchiature necessarie per i processi di riattivazione dei servizi. Sono inoltre state predisposte alcune sale o data-room equipaggiate con work-station, collegamenti con più provider, telefoni satellitari, denaro, strumenti di documentazione Soluzioni tecnologiche Il sito di Disaster Recovery è allestito con piattaforme tecnologiche dotate di capacità elaborativa equivalente a quelle del sito primario. I dispositivi hardware basilari sono ridondati o hanno adeguate caratteristiche di fault tolerant sia nel sito primario che in quello di Disaster Recovery. Sono stati inoltre siglati specifici contratti di manutenzione con adeguati Livelli di Servizio sui tempi di intervento o risoluzione. Le soluzioni architetturali di Disaster Recovery adottate permettono di realizzare specifiche tipologie di configurazione dell infrastruttura tecnologica, al fine di soddisfare i Livelli di Servizio e le direttive delle Istituzioni. L architettura della rete locale, della rete geografica SIANet.NG e dell accesso alla rete telefonica sono state progettate e realizzate per garantire la stessa affidabilità e lo stesso dimensionamento della rete presente presso la sede di produzione. Il sito primario ed il sito di DR sono connessi tramite fibre ottiche dedicate e diversificate nei percorsi e nei fornitori utilizzati. Tutti i diritti riservati. Pagina 11 di 18

12 Tutti i dati necessari all attivazione dei sistemi e servizi in Disaster Recovery sono replicati nel sito secondario, nelle modalità sincrona o asincrona consistente, consentendo un Recovery Point Objective (RPO) che varia da zero a qualche minuto, sulla base degli SLA contrattuali e dei requisiti prestazionali definiti Coinvolgimento della clientela La completa realizzazione della Business Continuity non può prescindere dallo sviluppo di un rapporto di collaborazione diretto con la propria Clientela, che rende possibile l analisi, la definizione e l implementazione di tutte le misure congiunte per la gestione della Crisi e per il recupero dei servizi e delle tecnologie di supporto quali, ad esempio, linee, apparati di sicurezza e connessioni ai Circuiti Internazionali. In tal senso SIA concorda coi propri clienti le modalità di reciproca collaborazione, quali: la definizione degli RTO e degli RPO, le connessioni da utilizzare in caso di disastro, i riferimenti da contattare per le comunicazioni generali, le azioni da compiere in caso di attivazione dell infrastruttura tecnico-applicativa dal sito di Disaster Recovery, la pianificazione dei test. Per qualsiasi comunicazione inerente i servizi erogati, SIA mette a disposizione dei propri Clienti il servizio Service Desk, contattabile al numero: oppure tramite mail all indirizzo: Documentazione di Business Continuity e Disaster Recovery La documentazione emessa per il Sistema di Gestione della Business Continuity (BCMS) viene archiviata in elettronico sul sistema documentale aziendale. Al fine di avere a disposizione una copia della documentazione di Business Continuity e di Disaster Recovery in modo immediato anche in caso di emergenza o crisi, sono stati predisposti degli armadi destinati all archiviazione cartacea, presso i siti di Disaster Recovery Revisione del Sistema di Gestione della Business Continuity SIA effettua periodicamente, o a fronte di variazioni rilevanti, una revisione di tutto il Sistema di Gestione della Business Continuity (BCMS) per assicurare la sua rispondenza ed adeguatezza a fronte di cambiamenti normativi, organizzativi, strategici e legislativi. Tutti i diritti riservati. Pagina 12 di 18

13 7. EXERCISING, MAINTAINING AND REVIEWING 7.1 Cosa prevede la BS Un Business Continuity Management System non può considerarsi affidabile se non viene regolarmente testato ed aggiornato adeguatamente. Questa fase comprende tre attività: Esercitazioni Mantenimento Revisione 7.2 La realtà SIA Esercitazioni SIA effettua periodicamente test ed esercitazioni di Business Continuity e di Disaster Recovery, che possono essere di tipo: Organizzativo (ad esempio: test del Processo di gestione delle emergenze, test dei Business Continuity Plan,...) Logistico (prove di evacuazione degli edifici) Tecnologico (test di Disaster Recovery) SIA, in qualità di Infrastruttura Qualificata, partecipa inoltre a test di natura sistemica organizzati dal gruppo CODISE (Banca d Italia). I test di Business Continuity sono effettuati per verificare l efficacia e l efficienza del Processo di Gestione delle Emergenze, verificare l adeguatezza, la completezza e la funzionalità dei Business Continuity Plan e delle procedure a supporto, valutare la preparazione dei gruppi di gestione della Business Continuity e l efficacia del programma di awareness/training, sviluppare e diffondere la conoscenza e la sensibilità sulle tematiche di Business Continuity in azienda. I test di Disaster Recovery sono necessari per valutare la funzionalità e l efficienza delle strutture di backup delle infrastrutture tecnologiche e mantenere aggiornati gli skill delle persone coinvolte. Con cadenza annuale SIA predispone il Piano dei Test di Business Continuity e il Piano dei Test di Disaster Recovery Mantenimento SIA ha un processo di aggiornamento della documentazione grazie al quale ogni cambiamento, interno ed esterno, che abbia impatto sull azienda, viene recepito all interno della gestione della Business Continuity/Disaster Recovery. Tutti i diritti riservati. Pagina 13 di 18

14 7.2.3 Revisione SIA effettua periodicamente una revisione del proprio Business Continuity Management System al fine di verificare l efficacia, l efficienza e la continua adeguatezza dello stesso e delle relative politiche, strategie ed obiettivi e di identificare le eventuali necessità di adeguamento, attuando le opportune azioni correttive e di miglioramento. L attività di revisione del sistema si concretizza attraverso: il Riesame della Direzione (Management Review) le Verifiche Ispettive Interne periodiche le Verifiche Ispettive Esterne (Mantenimento della Certificazione con DNV) Il Riesame della Direzione viene periodicamente effettuato con la Direzione aziendale. Ha l obiettivo di verificare il grado di adeguatezza del Business Continuity Management System a seguito dell evoluzione delle regole e dei requisiti espressi negli standard di riferimento/normative e di individuare specifiche attività atte a garantirne il suo mantenimento. Con cadenza annuale SIA predispone il Piano annuale delle Verifiche Ispettive ed effettua le Verifiche Ispettive Interne. Tutti i diritti riservati. Pagina 14 di 18

15 8. EMBEDDING BCM IN THE ORGANIZATION S CULTURE 8.1 Cosa prevede la BS Per rafforzare e diffondere la cultura di Business Continuity in azienda, è necessario che il BCMS venga considerato un valore chiave per l azienda e venga sponsorizzato da parte del top management aziendale. Per fare ciò SIA svolge le seguenti attività: Educazione ed informazione (Awareness) Formazione (Training) Esercitazioni (Test/collaudo) 8.2 La realtà di SIA Awareness e Training Il successo del processo di Business Continuity dipende anche dalla consapevolezza da parte del personale aziendale dei processi e dei servizi nonché delle attività da svolgere per garantirne la continuità. A tal proposito, SIA ha un processo continuo di educazione ed informazione (Awareness) che permetta la diffusione della consapevolezza dell importanza del BCMS al personale dell azienda. La formazione (Training) è rivolta sia al management sia al personale operativo. SIA effettua formazione attraverso sessioni in aula, sessioni di training del personale preposto a incarichi specifici ed esercitazioni sulla base del Programma di awareness/training di Business Continuity sviluppato periodicamente. Tutti i diritti riservati. Pagina 15 di 18

16 9. ALLEGATO 1 - GLOSSARIO DI BUSINESS CONTINUITY MANAGEMENT Da: BS :2007 British standard-business Continuity Management - Part 2: Specification Terms activity audit business continuity business continuity management (BCM) business continuity management lifecycle business continuity management personnel business continuity management programme business continuity management response business continuity management system (BCMS) business continuity plan (BCP) business continuity strategy business impact analysis (BIA) Definitions process or set of processes undertaken by an organization (or on its behalf) that produces or supports one or more products or services systematic examination to determine whether activities and related results conform to planned arrangements and whether these arrangements are implemented effectively and are suitable for achieving the organization s policy and objectives strategic and tactical capability of the organization to plan for and respond to incidents and business disruptions in order to continue business operations at an acceptable pre-defined level holistic management process that identifies potential threats to an organization and the impacts to business operations that those threats, if realized, might cause, and which provides a framework for building organizational resilience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value creating activities series of business continuity activities which collectively cover all aspects and phases of the Business Continuity Management Programme those assigned responsibilities defined in the BCMS, those accountable for BCM policy and its implementation, those who implement and maintain the BCMS, those who use or invoke the business continuity and incident management plans, and those with authority during an incident ongoing management and governance process supported by top management and appropriately resourced to ensure that the necessary steps are taken to identify the impact of potential losses, maintain viable recovery strategies and plans, and ensure continuity of products and services through training, exercise, maintenance and review element of BCM concerned with the development and implementation of appropriate plans and arrangements to ensure continuity of critical activities, and the management of an incident that part of the overall management system that establishes, implements, operates, monitors, reviews, maintains and improves business continuity documented collection of procedures and information that is developed, compiled and maintained in readiness for use in an incident to enable an organization to continue to deliver its critical activities at an acceptable predefined level approach by an organization that will ensure its recovery and continuity in the face of a disaster or other major incident or business disruption process of analysing business functions and the effect that a business disruption might have upon them Tutti i diritti riservati. Pagina 16 di 18

17 Terms consequence cost-benefit analysis critical activities disruption emergency planning exercise gain impact incident incident management plan (IMP) internal audit invocation likelihood loss management system maximum tolerable period of disruption nonconformity organization process product and services recovery time objective resilience Definitions outcome of an incident that will have an impact on an organization s objectives financial technique that measures the cost of implementing a particular solution and compares this with the benefit delivered by that solution those activities which have to be performed in order to deliver the key products and services which enable an organization to meet its most important and time-sensitive objectives event, whether anticipated (eg. a labour strike or hurricane) or unanticipated (eg. blackout or earthquake), which causes an unplanned, negative deviation from the expected delivery of products or services according to the organization s objectives development and maintenance of agreed procedures to prevent, reduce, control, mitigate and take other actions in the event of a civil emergency activity in which the business continuity plan(s) is rehearsed in part or in whole to ensure that the plan(s) contains the appropriate information and produces the desired result when put into effect positive consequence evaluated consequence of a particular outcome situation that might be, or could lead to, a business disruption, loss, emergency or crisis clearly defined and documented plan of action for use at the time of an incident, typically covering the key personnel, resources, services and actions needed to implement the incident management process audit conducted by, or on behalf of, the organization itself for management review and other internal purposes, and which might form the basis for an organization s self-declaration of conformity act of declaring that an organization s business continuity plan needs to be put into effect in order to continue delivery of key products or services chance of something happening, whether defined, measured or estimated objectively or subjectively, or in terms of general descriptors (such as rare, unlikely, likely, almost certain), frequencies or mathematical probabilities negative consequence system to establish policy and objectives and to achieve those objectives duration after which an organization s viability will be irrevocably threatened if product and service delivery cannot be resumed non-fulfilment of a requirement group of people and facilities with an arrangement of responsibilities, authorities and relationships set of interrelated or interacting activities which transforms inputs into outputs beneficial outcomes provided by an organization to its consumers, recipients and stakeholders, eg manufactured items, car insurance, regulatory compliance and community nursing target time set for resumption of product, service or activity delivery after an incident ability of an organization to resist being affected by an incident Tutti i diritti riservati. Pagina 17 di 18

La Business Continuity in SIA

La Business Continuity in SIA Scopo del documento: Il presente documento descrive come SIA sviluppa, implementa e mantiene il proprio Sistema di Gestione della Continuità Operativa, in applicazione di quanto descritto nelle Linee Guida

Dettagli

La Business Continuity in SIA

La Business Continuity in SIA Scopo del documento: Il presente documento descrive come SIA sviluppa, implementa e mantiene il proprio Sistema di Gestione della Continuità Operativa, in applicazione di quanto descritto nelle Linee Guida

Dettagli

GL Solutions. da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato

GL Solutions. da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato ORBIT Overview GL Solutions da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato Associata al Consorzio ABILab Certificazioni BS25999 IBM Business

Dettagli

Tanta fatica solo per un bollino ne vale davvero la pena?

Tanta fatica solo per un bollino ne vale davvero la pena? Tanta fatica solo per un bollino ne vale davvero la pena? Relatori: Paolo SFERLAZZA Alberto PERRONE Relatori Paolo Sferlazza Security Advisor CISA,LA27001,LA22301,OPST, COBIT 5, ITIL,LA9001,ISFS, ITSM,ISMA

Dettagli

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A.

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A. IL BS7799 Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it Sistemi Informativi S.p.A. ALCUNI CONCETTI FONDAMENTALI Sistemi Informativi S.p.A. 2 ATTIVITA DELLA SECURITY STUDIO, SVILUPPO ED

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Continuità operativa - FAQ

Continuità operativa - FAQ Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un

Dettagli

Business Continuity Governance: ORBIT per il nuovo CAD

Business Continuity Governance: ORBIT per il nuovo CAD Business Continuity Governance: ORBIT per il nuovo CAD Il nuovo CAD articolo 50-bis E obbligatorio per le Pubbliche Amministrazioni italiane la definizione di : UN PIANO DI CONTINUITÀ OPERATIVA che fissa

Dettagli

Sicurezza informatica. Strumento basilare per la business continuity

Sicurezza informatica. Strumento basilare per la business continuity Sicurezza informatica Strumento basilare per la business continuity CLUSIT- Associazione Italiana per la Sicurezza Informatica Associazione "no profit" con sede presso l'università degli studi di Milano,Dipartimento

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

Strategie e processi per salvaguardare il valore aziendale

Strategie e processi per salvaguardare il valore aziendale Business Continuity Strategie e processi per salvaguardare il valore aziendale A cura di: Alfredo Bertini Governance, Quality & Safety Manager Direzione Legal, Governance & Compliance Agenda: Roche Italy

Dettagli

Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015

Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015 Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015 I requisiti per la gestione del rischio presenti nel DIS della nuova ISO 9001:2015 Alessandra Peverini Perugia 9/09/2014 ISO

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

2 Congresso Nazionale Banche Club TI

2 Congresso Nazionale Banche Club TI 2 Congresso Nazionale Banche Club TI Verona 24 giugno 2005 Gianpietro Ravasio Direttore Tecnologia e Gestione Produzione 1 Auditorium del Banco Popolare di Verona e Novara Centro Servizi - Via Meucci,

Dettagli

Seminario tecnico - Commissione ICT L affidabilità delle strutture ICT critiche

Seminario tecnico - Commissione ICT L affidabilità delle strutture ICT critiche Seminario tecnico - Commissione ICT L affidabilità delle strutture ICT critiche Parte 2 - Architetture ICT e soluzioni organizzative per BC e DR, standard, normativa banche e PA Lead Auditor ISO 22301

Dettagli

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES 1 CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT Il corso è finalizzato a illustrare in dettaglio le competenze richieste al Business Continuity Manager per guidare un progetto BCM e/o gestire

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico

Dettagli

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione

Dettagli

Company Management System SIA - Processi e Sistemi di Gestione

Company Management System SIA - Processi e Sistemi di Gestione Company Management System SIA - Processi e Sistemi di Gestione Redatto da: Verificato da: Approvato da: Stefano Canetta RGO Lorenzo Verducci HRO Alessandra Carazzina RGO David Neumarker HRO Marco Ornito

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL

Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL Al servizio dei professionisti dell IT Governance Capitolo di Milano Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL Valter Tozzini - ItSMF Italia Paola Belforte - ItSMF

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

Auditorium dell'assessorato Regionale Territorio e Ambiente

Auditorium dell'assessorato Regionale Territorio e Ambiente Auditorium dell'assessorato Regionale Territorio e Ambiente Università degli Studi di Palermo Prof. Gianfranco Rizzo Energy Manager dell Ateneo di Palermo Plan Do Check Act (PDCA) process. This cyclic

Dettagli

LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz

LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz Il Nuovo Codice dell Amministrazione Digitale: opportunità per i cittadini, adempimenti per le amministrazioni Napoli, 28 aprile 2011 LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz Introduzione alla

Dettagli

Qualification Program in IT Service Management according to ISO/IEC 20000. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in IT Service Management according to ISO/IEC 20000. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in IT Service Management according to ISO/IEC 20000 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 20000 L IT Service Management secondo

Dettagli

Company Management System SIA - Processi e Sistemi di Gestione. Dominio di Applicazione

Company Management System SIA - Processi e Sistemi di Gestione. Dominio di Applicazione Company Management System SIA - Processi e Sistemi di Gestione Codice Documento Classificazione Dominio di Applicazione Pubblica SIA SOMMARIO SOMMARIO... 2 1 OBIETTIVO DEL DOCUMENTO... 4 2 PRESENTAZIONE

Dettagli

Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT. Certificato ITIL Foundation in IT Service Management SYLLABUS

Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT. Certificato ITIL Foundation in IT Service Management SYLLABUS Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT Certificato ITIL Foundation in IT Service Management SYLLABUS Page 1 of 11 IL CERTIFICATO ITIL FOUNDATION IN IT SERVICE MANAGEMENT La

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

Sicurezza informatica nelle Pubbliche Amministrazioni

Sicurezza informatica nelle Pubbliche Amministrazioni La continuitá operativa nelle Pubbliche Amministrazioni Bolzano, 28.02.2012 Dott. Giovanni Rellini Lerz Definizione di business continuity (BC) o continuità operativa (CO) (Da BS 25999-2:2007) Business

Dettagli

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009 Insight N. 24 Maggio 2009 Gestire e comunicare la crisi: un caso di successo Il termine crisi suggerisce istintivamente un momento, nella vita di una persona o di un azienda, dalle conseguenze non prevedibili

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi

Dettagli

www.fire-italia.org Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona

www.fire-italia.org Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona La norma ISO 50001 Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona I problemi dell energy management Fondamentalmente l EM è richiesto per risparmiare sui costi aziendali. Costi sempre

Dettagli

Guida alla redazione del Business Continuity Plan per gli intermediari finanziari

Guida alla redazione del Business Continuity Plan per gli intermediari finanziari www.compliancenet.it www.prometeomc.it Guida alla redazione del Business Continuity Plan per gli intermediari finanziari 22 luglio 2010 - versione 1.0 http://www.compliancenet.it/content/guida-business-continuity

Dettagli

N 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti.

N 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti. ERRATA CORRIGE N 1 alla versione bilingue (italiano-inglese) DEL 31 luglio 2009 NORMA UNI EN ISO 9001 (novembre 2008) TITOLO Sistemi di gestione per la qualità - Requisiti Punto della norma Pagina Oggetto

Dettagli

BS OHSAS 18001:2007 in ambito sanitario: l esperienza presso gli Istituti Clinici Zucchi

BS OHSAS 18001:2007 in ambito sanitario: l esperienza presso gli Istituti Clinici Zucchi BS OHSAS 18001:2007 in ambito sanitario: l esperienza presso gli Istituti Clinici Zucchi 17/07/2012 1 Dott.ssa Francesca Leonardi RSPP-RSGSSL Istituti Clinici Zucchi. ORGANISMO AZIENDA SANITARIA : COGENZA

Dettagli

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management 2015 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Framework Lo standard

Dettagli

La Governance come strumento di valorizzazione dell'it verso il business

La Governance come strumento di valorizzazione dell'it verso il business La Governance come strumento di valorizzazione dell'it verso il business Livio Selvini HP IT Governance Senior Consultant Vicenza, 24 novembre Hewlett-Packard Development Company, L.P. The information

Dettagli

PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice

PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice OUR PHILOSOPHY PIRELLI ENTERPRISE RISK MANAGEMENT POLICY ERM MISSION manage risks in terms of prevention and mitigation proactively seize the

Dettagli

Procedure d emergenza e Business Continuity Plan. Dott. Ing. Alfiero Ortali Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia

Procedure d emergenza e Business Continuity Plan. Dott. Ing. Alfiero Ortali Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia Procedure d emergenza e Business Continuity Plan Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia Loreto Ottobre 2011 La business continuity è in sostanza l insieme di attività

Dettagli

BANCA D ITALIA AIEA 2007. Relatore: Tullio Prà Servizio Vigilanza sugli Enti Creditizi Banca d Italia

BANCA D ITALIA AIEA 2007. Relatore: Tullio Prà Servizio Vigilanza sugli Enti Creditizi Banca d Italia XXI Convegno Nazionale Information Systems Auditing Accademia Navale di Livorno, 24-25 Maggio 2007 La Continuità operativa nel sistema bancario italiano Relatore: Tullio Prà Servizio Vigilanza sugli Enti

Dettagli

ISO 9001:2015. Il processo di revisione 16/11/2014. Verso l ISO 9001:2015 gli steps del processo di revisione

ISO 9001:2015. Il processo di revisione 16/11/2014. Verso l ISO 9001:2015 gli steps del processo di revisione ISO 9001:2015 Il processo di revisione 1 Verso l ISO 9001:2015 gli steps del processo di revisione Marzo 2014: meeting ISO a Parigi ha completato la preparazione dell ISO/DIS 9001 (riesame dei commenti

Dettagli

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo IX Convention ABI L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo BPR e BCM: due linee di azione per uno stesso obiettivo Ing. Alessandro Pinzauti Direttore

Dettagli

Ingegneria del Software Testing. Corso di Ingegneria del Software Anno Accademico 2012/2013

Ingegneria del Software Testing. Corso di Ingegneria del Software Anno Accademico 2012/2013 Ingegneria del Software Testing Corso di Ingegneria del Software Anno Accademico 2012/2013 1 Definizione IEEE Software testing is the process of analyzing a software item to detect the differences between

Dettagli

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301. P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301. P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a CERTIQUALITY La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301 Dott. Nicola Gatta Direzione Marketing & Industry Management

Dettagli

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Raoul Savastano Responsabile Security Services Kpmg Information

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

Direzione ICT. KeyClient Cards & Solutions. Manuale Business Continuity Management. Versione 1.2. Manuale BCM

Direzione ICT. KeyClient Cards & Solutions. Manuale Business Continuity Management. Versione 1.2. Manuale BCM KeyClient Cards & Solutions Direzione ICT Manuale Business Continuity Management Versione 1.2 Pagina 1 di 35 Pagina lasciata intenzionalmente in bianco Pagina 2 di 35 Indice 1 INTRODUZIONE... 4 2 AMBITO

Dettagli

ACCREDIA L ENTE ITALIANO DI ACCREDITAMENTO

ACCREDIA L ENTE ITALIANO DI ACCREDITAMENTO ACCREDIA L ENTE ITALIANO DI ACCREDITAMENTO ACCREDIA 14 Settembre 2012 Emanuele Riva Coordinatore dell Ufficio Tecnico 1-29 14 Settembre 2012 Identificazione delle Aree tecniche Documento IAF 4. Technical

Dettagli

Legame fra manutenzione e sicurezza. La PAS 55

Legame fra manutenzione e sicurezza. La PAS 55 Gestione della Manutenzione e compliance con gli standard di sicurezza: evoluzione verso l Asset Management secondo le linee guida della PAS 55, introduzione della normativa ISO 55000 Legame fra manutenzione

Dettagli

La condensazione della nuvola

La condensazione della nuvola La condensazione della nuvola BS ISO/IEC 27001: 2005 e cloud computing Come si trattano i gas? Rendendoli liquidi Comprimendoli e inserendoli in contenitori CONDENSANDOLI allora possono essere trattati,

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

Università di Macerata Facoltà di Economia

Università di Macerata Facoltà di Economia Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia 01 Angelo Micocci: fonti e definizioni 1 Obiettivo della lezione Internal Control

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL A

Corso di Amministrazione di Sistema Parte I ITIL A Corso di Amministrazione di Sistema Parte I ITIL A Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

Vision strategica della BCM

Vision strategica della BCM Vision strategica della BCM BCM Ticino Day 2015 Lugano 18 settembre 2015 Susanna Buson Business Continuity Manager and Advisor CBCP, MBCI Agenda Business Continuity vs Business Resilience Business Continuity

Dettagli

LE NOVITÀ DELL EDIZIONE 2011 DELLO STANDARD ISO/IEC 20000-1 E LE CORRELAZIONI CON IL FRAMEWORK ITIL

LE NOVITÀ DELL EDIZIONE 2011 DELLO STANDARD ISO/IEC 20000-1 E LE CORRELAZIONI CON IL FRAMEWORK ITIL Care Colleghe, Cari Colleghi, prosegue la nuova serie di Newsletter legata agli Schemi di Certificazione di AICQ SICEV. Questa volta la pillola formativa si riferisce alle novità dell edizione 2011 dello

Dettagli

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Evoluzione delle normative di riferimento della Information Security ed analisi delle principali novità introdotte di Cesare Gallotti

Dettagli

Outsourcing Internal Audit, Compliance e Risk Management

Outsourcing Internal Audit, Compliance e Risk Management Idee per emergere Outsourcing Internal Audit, Compliance e Risk Management FI Consulting Srl Via Vittorio Alfieri, 1 31015 Conegliano (TV) Tel. 0438 360422 Fax 0438 411469 E-mail: info@ficonsulting.it

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza

Dettagli

Business Continuity Management

Business Continuity Management Business Continuity Management Alcune riflessioni alla luce della normativa, della metodologia ABI e delle best practice Ing. Anthony Cecil Wright Presidente ANSSAIF Responsabile progetto di Business Continuity

Dettagli

CERTIQUALITY. Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity

CERTIQUALITY. Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity Per una migliore qualità della vita CERTIQUALITY Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity Dott. Nicola Gatta Direzione

Dettagli

Pubblicazioni COBIT 5

Pubblicazioni COBIT 5 Pubblicazioni COBIT 5 Marco Salvato CISA, CISM, CGEIT, CRISC, COBIT 5 Foundation, COBIT 5 Trainer 1 SPONSOR DELL EVENTO SPONSOR DI ISACA VENICE CHAPTER CON IL PATROCINIO DI 2 La famiglia COBIT 5 3 Aprile

Dettagli

CIG 4824064F88. Risposte ai quesiti pervenuti

CIG 4824064F88. Risposte ai quesiti pervenuti Bando di gara a procedura aperta per l affidamento del Servizio di assistenza tecnica finalizzata al supporto alle attività di gestione, monitoraggio, valorizzazione e diffusione dei risultati del Programma

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

ISO 9001:2015. Ing. Massimo Tuccoli. Genova, 27 Febbraio 2015

ISO 9001:2015. Ing. Massimo Tuccoli. Genova, 27 Febbraio 2015 ISO 9001:2015. Cosa cambia? Innovazioni e modifiche Ing. Massimo Tuccoli Genova, 27 Febbraio 2015 1 Il percorso di aggiornamento Le principali novità 2 1987 1994 2000 2008 2015 Dalla prima edizione all

Dettagli

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi Seminari Eucip, Esercizio di Sistemi Informativi Service Delivery and Support Dipartimento di Informtica e Sistemistica Università di Roma La Sapienza ITIL.1 Relazioni con il.2 Pianificazione.3 Gestione

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

Business Continuity Management. Gli standard ISO 22301 e ISO 22313. Workshop formativo Padova, 28 aprile 2016

Business Continuity Management. Gli standard ISO 22301 e ISO 22313. Workshop formativo Padova, 28 aprile 2016 Business Continuity Management. Gli standard ISO 22301 e ISO 22313 Workshop formativo Padova, 28 aprile 2016 1 Agenda TERMINOLOGIA, QUALI SONO I TERMINI UTILIZZATI E IL LORO SIGNIFICATO INTRODUZIONE ALLA

Dettagli

Università degli studi di Roma La Sapienza Dipartimento di Informatica: La continuità operativa negli standard BS 25999 e ISO 22301

Università degli studi di Roma La Sapienza Dipartimento di Informatica: La continuità operativa negli standard BS 25999 e ISO 22301 Università degli studi di Roma La Sapienza Dipartimento di Informatica: La continuità operativa negli standard BS 25999 e ISO 22301 Relatore: Laura Schiavon Roma 4 giugno 2012 17/05/2012-1 Contenuti del

Dettagli

La governance dei Servizi IT con COBIT, ITIL e ISO/IEC 20000

La governance dei Servizi IT con COBIT, ITIL e ISO/IEC 20000 La governance dei Servizi IT con COBIT, ITIL e ISO/IEC 20000 Autore: Maxime Sottini Consigliere itsmf Italia itsmf International IQC Officer CEO icons Innovative Consulting S.r.l. COBIT è un marchio registrato

Dettagli

LA BUSINESS CONTINUITY E LE DISPOSIZIONI IN MATERIA

LA BUSINESS CONTINUITY E LE DISPOSIZIONI IN MATERIA LA BUSINESS CONTINUITY E LE DISPOSIZIONI IN MATERIA AVV. ANTONIO SERRA CPP,Cepas, Responsabile Area Sicurezza di IUSS-Pavia Socio A.I.PRO.S. Scopo della relazione è quello di dare una panoramica sulla

Dettagli

Business continuity management per le strutture che erogano servizi socio sanitari. Con il patrocinio di

Business continuity management per le strutture che erogano servizi socio sanitari. Con il patrocinio di Business continuity management per le strutture che erogano servizi socio sanitari Con il patrocinio di La Business Continuity o Continuità Operativa, è la capacità di un organizzazione di mantenere operative

Dettagli

LA NUOVA ISO 9001:2015

LA NUOVA ISO 9001:2015 Aspettative e confronto con la versione 2008 Vincenzo Paolo Maria Rialdi Lead Auditor IRCA Amministratore Delegato e Direttore Tecnico Vevy Europe S.p.A. 2/9 BREVE STORIA DELLA NORMA ISO 9000 standard

Dettagli

Il Sistema di Gestione della Business Continuity Un percorso obbligatorio per la resilienza organizzativa

Il Sistema di Gestione della Business Continuity Un percorso obbligatorio per la resilienza organizzativa Il Sistema di Gestione della Business Continuity Un percorso obbligatorio per la resilienza organizzativa Gianna Detoni, AFBCI Presidente di PANTA RAY BCI Italian Forum Leader 1 Milano, 13 ottobre 2015

Dettagli

Services Portfolio per gli Istituti Finanziari

Services Portfolio per gli Istituti Finanziari Services Portfolio per gli Istituti Finanziari Servizi di consulenza direzionale e sviluppo sulle tematiche di Security, Compliance e Business Continuity 2015 Summary Chi siamo Il modello operativo di

Dettagli

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site La Tecnologia evolve velocemente ed anche gli esperti IT più competenti hanno bisogno di una formazione costante per tenere il passo Come

Dettagli

Project Management e Business Analysis: the dynamic duo. Firenze, 25 Maggio 2011

Project Management e Business Analysis: the dynamic duo. Firenze, 25 Maggio 2011 Project Management e Business Analysis: the dynamic duo Firenze, 25 Maggio 2011 Grazie! Firenze, 25 Maggio 2011 Ing. Michele Maritato, MBA, PMP, CBAP 2 E un grazie particolare a www.sanmarcoinformatica.it

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

Il Sistema di Gestione della Business Continuity Un percorso obbligatorio per la resilienza organizzativa

Il Sistema di Gestione della Business Continuity Un percorso obbligatorio per la resilienza organizzativa Il Sistema di Gestione della Business Continuity Un percorso obbligatorio per la resilienza organizzativa Gianna Detoni, AFBCI Presidente di PANTA RAY BCI Italian Forum Leader 1 Roma, 9 ottobre 2015 AGENDA

Dettagli

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud Mariangela Fagnani ICT Security & Governance Senior Advisor Sernet SpA Sessione di Studio AIEA 19 Giugno 2015 Sernet e l offerta

Dettagli

We take care of your buildings

We take care of your buildings We take care of your buildings Che cos è il Building Management Il Building Management è una disciplina di derivazione anglosassone, che individua un edificio come un entità che necessita di un insieme

Dettagli

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni (a cura di M Cecioni CISA - Securteam) 19 dicembre 2006 Pag. 1 INDICE DELLA PRESENTAZIONE : 1. L'esigenza 2. Perchè

Dettagli

Molti fatti, si pensi per esempio al black-out

Molti fatti, si pensi per esempio al black-out ICT E DIRITTO Rubrica a cura di Antonio Piva, David D Agostini Scopo di questa rubrica è di illustrare al lettore, in brevi articoli, le tematiche giuridiche più significative del settore ICT: dalla tutela

Dettagli

COBIT. COBIT è un modello di riferimento che comprende una raccolta di best practice

COBIT. COBIT è un modello di riferimento che comprende una raccolta di best practice COBIT Il COBIT (Control Objectives for Information and related Technology ) e' un set (freamework) di best practices per il management dell'it creato dall'isaca (Information Systems Audit and Control Association

Dettagli

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale;

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale; Presentazione Blu Consulting è una società di consulenza direzionale certificata ISO 9001:2008, fondata da Mauro Masciarelli nel 2009, specializzata nella revisione delle strategie di business, adeguamento

Dettagli

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti L adozione di COBIT come strumento di IS Governance. Stato dell arte, risultati e fattori critici di successo nelle esperienze analizzate. Elisa Pozzoli, Gianluca Salviotti Copyright SDA Bocconi Elisa

Dettagli

Processi di Gestione dei Sistemi ICT

Processi di Gestione dei Sistemi ICT Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,

Dettagli

PMBOK Guide 3 rd Edition 2004

PMBOK Guide 3 rd Edition 2004 PMBOK Guide 3 rd Edition 2004 Un modello di riferimento per la gestione progetti a cura di Tiziano Villa, PMP febbraio 2006 PMI, PMP, CAPM, PMBOK, PgMP SM, OPM3 are either marks or registered marks of

Dettagli

La gestione della sicurezza nella scuola. Alba, 27 maggio 2009 a cura di Alfonso Lupo

La gestione della sicurezza nella scuola. Alba, 27 maggio 2009 a cura di Alfonso Lupo La gestione della sicurezza nella scuola Alba, 27 maggio 2009 a cura di Alfonso Lupo 1 Sommario Organizzazione e gestione Criticità Percorso per la certificazione sulla sicurezza: progetto risk managament

Dettagli

Piano di Continuità Operativa ICT

Piano di Continuità Operativa ICT LOGO DELL AMMINISTRAZIONE Piano di Continuita Operativa ICT Esempio di modello generale X/XX/201X F I R M E Unità/Ruolo Nominativo Firma PREPARATO DA: CONTROLLATO DA: APPROVATO DA: AUTORIZZATO DA: 2 LISTA

Dettagli

IT Service Management, le best practice per la gestione dei servizi

IT Service Management, le best practice per la gestione dei servizi Il Framework ITIL e gli Standard di PMI : : possibili sinergie Milano, Venerdì, 11 Luglio 2008 IT Service Management, le best practice per la gestione dei servizi Maxime Sottini Slide 1 Agenda Introduzione

Dettagli

Business Continuity Management e Sicurezza Integrata: l'esperienza di Banca Intesa. Paolo Murgia Servizio Continuità Operativa

Business Continuity Management e Sicurezza Integrata: l'esperienza di Banca Intesa. Paolo Murgia Servizio Continuità Operativa Business Continuity Management e Sicurezza Integrata: l'esperienza di Banca Intesa Paolo Murgia Servizio Continuità Operativa Agenda 2 Quadro di riferimento per il settore bancario La sicurezza in Banca

Dettagli

Lo stato dell arte dei progetti di ORM nelle banche italiane

Lo stato dell arte dei progetti di ORM nelle banche italiane IX Convention ABI 29 e 30 novembre 2005 Lo stato dell arte dei progetti di ORM nelle banche italiane Giampaolo Gabbi Università degli Studi di Siena SDA Bocconi 1 Le fasi dell ORM nei progetti in essere

Dettagli

Operational Risk Management & Business Continuity Fonti Informative e punti di contatto

Operational Risk Management & Business Continuity Fonti Informative e punti di contatto Operational Risk Management & Business Continuity Fonti Informative e punti di contatto Roma 16 giugno 2005 Dr. Paolo Cruciani BNL Responsabile Rischi Operativi BNL Direzione Risk Management Agenda 1.

Dettagli

CRESCE L ATTENZIONE AL RISK MANAGEMENT; ANCHE LA COMPETENZA?

CRESCE L ATTENZIONE AL RISK MANAGEMENT; ANCHE LA COMPETENZA? Qualità 4-2013 CRESCE L ATTENZIONE AL RISK MANAGEMENT; ANCHE LA COMPETENZA? Giovanni Mattana IL CONTESTO Scrivevamo due anni fa che il Risk Management porta a fattor comune molti aspetti finora trattati

Dettagli

Le norme della Qualità

Le norme della Qualità Le norme ISO9000 e la loro evoluzione L evoluzione delle ISO 9000 in relazione alla evoluzione delle prassi aziendali per la Qualita 3 Evoluzione della serie ISO 9000 2 1 Rev. 1 ISO 9000 Rev. 2 ISO 9000

Dettagli