Company Management System La Business Continuity in SIA

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Company Management System La Business Continuity in SIA"

Transcript

1 Company Management System La Business Continuity in SIA Codice documento: Classificazione: Società Progetto/Servizio Anno N. Doc Versione Pubblica

2 SOMMARIO 1. INTRODUZIONE IL BUSINESS CONTINUITY MANAGEMENT SYSTEM DI SIA E LO STANDARD DI RIFERIMENTO BCM PROGRAMME MANAGEMENT Cosa prevede la BS La realtà SIA UNDERSTANDING THE ORGANIZATION Cosa prevede la BS La realtà SIA Business Impact Analysis Risk Assessment DETERMINING BCM STRATEGY Cosa prevede la BS La Business Continuity in SIA DEVELOPING AND IMPLEMENTING BCM RESPONSE Cosa prevede la BS La realtà SIA Soluzioni organizzative: Processo di Gestione delle Emergenze e dello Stato di Crisi Soluzioni organizzative: i Business Continuity Plan (BCP) delle Direzioni/Divisioni Soluzioni organizzative: i Disaster Recovery Plan (DRP) Soluzioni logistiche Soluzioni tecnologiche Coinvolgimento della clientela Documentazione di Business Continuity e Disaster Recovery Revisione del Sistema di Gestione della Business Continuity EXERCISING, MAINTAINING AND REVIEWING Cosa prevede la BS La realtà SIA Esercitazioni Mantenimento Revisione EMBEDDING BCM IN THE ORGANIZATION S CULTURE Cosa prevede la BS La realtà di SIA Awareness e Training ALLEGATO 1 - GLOSSARIO DI BUSINESS CONTINUITY MANAGEMENT Tutti i diritti riservati. Pagina 2 di 18

3 1. INTRODUZIONE SIA pone grande attenzione alla Business Continuity quale elemento cruciale per l erogazione dei propri servizi nel pieno rispetto di quanto definito nei contratti con i clienti, delle Linee Guida di Banca d Italia e, più in generale, in coerenza con le metodologie e gli standard internazionali di riferimento. In tal senso ha sviluppato e mantiene un Business Continuity Management System, ovvero un sistema che contempla soluzioni logistiche, organizzative e tecnologiche. Tale sistema è in grado di supportare efficacemente e tempestivamente l organizzazione a fronte di una situazione di emergenza. L obiettivo principale del Business Continuity Management System di SIA è quello di garantire che l organizzazione sia in grado di reagire a fronte di eventi dannosi che ne minacciano la sopravvivenza o l immagine. I principi che stabiliscono le priorità nella gestione dell emergenza/crisi e che orientano le decisioni sono: proteggere la vita e l incolumità delle persone; prevenire ulteriori conseguenze derivanti dall'incidente di origine; proteggere la continuità del business e tutelare il patrimonio di immagine dell azienda; cooperare alla garanzia di continuità di erogazione del sistema creditizio - finanziario; salvaguardare i beni di cui l azienda ha la disponibilità o la responsabilità, nel rispetto dell ambiente. Tali principi sono coerenti con le Linee Guida per la continuità di servizio delle infrastrutture qualificate dei sistemi di pagamento di Banca d Italia e con le best practice e gli standard quali il BS e l ISO Gestire la Business Continuity per SIA significa: guidare le scelte in situazioni di emergenza e di crisi, definire i piani, le procedure e le risorse tecniche, umane e logistiche per assicurare la Business Continuity dell azienda in situazioni di emergenza e di crisi, reagire con prontezza per ridurre il tempo di interruzione dei processi di business e garantirne il ripristino in modo efficace. Tutti i diritti riservati. Pagina 3 di 18

4 2. IL BUSINESS CONTINUITY MANAGEMENT SYSTEM DI SIA E LO STANDARD DI RIFERIMENTO SIA ha adottato lo standard BS per lo sviluppo del proprio Business Continuity Management System e nel corso del 2008 ha ottenuto la certificazione BS 25999, tramite terza parte qualificata, per l intero perimetro aziendale. Il ciclo di vita del Business Continuity Management System si compone di sei fasi: 1. BCM Programme management 2. Understanding the organization 3. Determining BCM strategy 4. Developing and implementing BCM response 5. Exercising, maintaining and reviewing 6. Embedding BCM in the organization s culture Le fasi, che non sono necessariamente consequenziali, ma comunque da ripetere periodicamente nel tempo, sono schematizzate come segue: Understanding the organization Exercising, maintaining and reviewing BCM Programme management Determining BCM strategy Developing and implementing BCM response A maggio 2012 è stata pubblicata la nuova norma ISO 22301:2012 Societal security Business Continuity Management System Requirements, con la quale la BS è stata recepita dall International Standard Organization. SIA sta lavorando al passaggio dalla BS alla nuova norma, pianificato per il Nei capitoli successivi, per ogni fase dello standard, sono descritte le modalità con cui SIA si è organizzata per essere conforme allo stesso. Tutti i diritti riservati. Pagina 4 di 18

5 3. BCM PROGRAMME MANAGEMENT 3.1 Cosa prevede la BS Il BCM Programme Management è il processo continuo di gestione e di governo che, supportato dalla Direzione Aziendale e da un adeguata allocazione di risorse, garantisce che vengano intrapresi i passi necessari al fine di identificare l impatto di potenziali perdite, di mantenere praticabili i piani e le strategie di ripristino e di assicurare la continuità dei prodotti e dei servizi mediante programmi di formazione, test, esercitazioni e costanti attività di aggiornamento e revisione. 3.2 La realtà SIA SIA si è strutturata identificando ruoli e responsabilità al proprio interno per fronteggiare problematiche organizzative (Business Continuity), tecnologiche (Disaster Recovery) e logistiche. Inoltre ha definito un Comitato Guida di Business Continuity/ Disaster Recovery per il coordinamento del master plan degli interventi in materia di Business Continuity/ Disaster Recovery: tale Comitato aggiorna periodicamente l Alta Direzione aziendale. Infine, alle dirette dipendenze della Presidenza, è definita la funzione di Auditing, che interviene sui programmi di Business Continuity e Disaster Recovery con proprie azioni di verifiche indipendenti, valutazioni, pareri e osservazioni. Tutti i diritti riservati. Pagina 5 di 18

6 4. UNDERSTANDING THE ORGANIZATION 4.1 Cosa prevede la BS Scopo di questa fase è favorire la comprensione dell azienda attraverso l identificazione dei suoi servizi chiave e delle sue attività critiche, nonché delle risorse necessarie per il loro mantenimento. Tale analisi è volta a garantire che il programma di gestione della Business Continuity sia allineato alla missione aziendale, ai vincoli normativi ed agli accordi con i clienti. Il perseguimento di tale obiettivo si concretizza attraverso l esecuzione delle seguenti attività: Business Impact Analysis Risk Assessment 4.2 La realtà SIA Business Impact Analysis La Business Impact Analysis (BIA) è la valutazione dell impatto sul business in caso di eventi di rilievo che possono compromettere le attività aziendali e l erogazione dei servizi. Al fine di indirizzare appropriate soluzioni di Business Continuity, vengono identificati i requisiti di ripartenza dei servizi. SIA produce la Business Impact Analysis con l obiettivo di: censire i servizi rilevanti per il business aziendale identificare gli impatti legati all indisponibilità del servizio identificare i tempi di ripristino a livello contrattuale/normativo identificare i servizi maggiormente critici identificare quali attività hanno la necessità di essere ripristinate in un momento successivo. La BIA di SIA riporta, principalmente, l analisi dei servizi di business e l individuazione delle attività critiche utilizzando i parametri di valutazione che tengono conto di vincoli a livello normativo, vincoli contrattuali con i clienti, rilevanza del servizio/attività per il business aziendale, rilevanza strategica del servizio/attività per l azienda. La BIA di SIA viene aggiornata con frequenza annuale con le informazioni fornite dalle strutture aziendali coinvolte e resa disponibile all azienda per la predisposizione dei piani di Disaster Recovery Risk Assessment Il Risk Assessment è finalizzato all individuazione ed alla valutazione delle minacce che possono colpire gli asset aziendali provocandone l indisponibilità per un periodo di tempo più o meno prolungato. Con l effettuazione del Risk Assessment SIA si propone i seguenti principali obiettivi: Identificare gli eventi che potrebbero comportare la perdita di riservatezza, integrità, disponibilità e conformità dei servizi/processi aziendali Tutti i diritti riservati. Pagina 6 di 18

7 Riconoscere e gestire le vulnerabilità presenti, gestendo il rischio derivante dall accadimento di eventi individuati quali possibili minacce. Il processo e la metodologia di analisi dei rischi di sicurezza di SIA sono basati sulle indicazioni dello standard BS e sul modello di riferimento CobiT (Processo PO9 Assess Risk). I rischi, calcolati sui parametri di sicurezza Riservatezza, Integrità, Disponibilità e Conformità, vengono analizzati dalle parti coinvolte ed uno specifico Comitato Sicurezza decide il loro trattamento basandosi sulla valutazione del giusto equilibrio fra necessità di business, di costo, tecnologiche e di sicurezza, ovvero: mitigare i rischi attraverso l identificazione delle azioni, responsabilità e priorità di intervento accettare i rischi in modo consapevole evitare i rischi trasferire i rischi a terze parti. Sulla base delle decisioni assunte, viene predisposto il Piano di Trattamento dei Rischi di Sicurezza, che viene sistematicamente monitorato ed aggiornato sulla base delle indicazioni fornite dal Comitato Sicurezza. Vengono inoltre periodicamente effettuate: Analisi e gestione dei rischi di sicurezza dei processi e delle infrastrutture volti all'erogazione dei servizi di business aziendali Analisi dei rischi di sicurezza fisica e safety. Tutti i diritti riservati. Pagina 7 di 18

8 5. DETERMINING BCM STRATEGY 5.1 Cosa prevede la BS Le attività di questa fase permettono all organizzazione di determinare una adeguata strategia di Business Continuity che le consenta di garantire una risposta appropriata per ciascun servizio, in termini di livelli operativi e di tempi di ripristino accettabili, durante e dopo un evento dannoso. 5.2 La Business Continuity in SIA SIA annualmente sottopone per approvazione al proprio Consiglio di Amministrazione il Piano di Business Continuity che comprende la strategia aziendale, le azioni effettuate e quelle da effettuare. La strategia di Business Continuity di SIA si basa sui seguenti principi guida: Adozione di un modello di Business Continuity che venga riconosciuto come un valido riferimento a livello internazionale. SIA ha scelto come riferimento lo standard BS e la metodologia del Business Continuity Institute (BCI) Articolazione degli obiettivi di Business Continuity per i vari servizi in modo coerente con i contratti commerciali con i clienti e con i requisiti dettati dagli Organismi di Vigilanza Identificazione di soluzioni tecniche ed organizzative adeguate Definizione di un piano pluriennale di Business Continuity che prevede test ripetuti al fine di garantire l adeguatezza e l aggiornamento continuo delle soluzioni adottate Utilizzo del TOR Terms of Reference di Banca d Italia quale strumento di controllo per la verifica dell adeguatezza dell impianto di Business Continuity. Tutti i diritti riservati. Pagina 8 di 18

9 6. DEVELOPING AND IMPLEMENTING BCM RESPONSE 6.1 Cosa prevede la BS Obiettivo della fase di Sviluppo e Realizzazione della Risposta di Business Continuity (Developing and Implementing BCM Response) è garantire che la struttura aziendale sviluppi piani, istruzioni e processi e renda disponibili locali ed apparecchiature in modo tale da essere in grado di gestire prontamente gli incidenti e le crisi. La struttura deve permettere di: confermare la natura e l estensione dell incidente dare l avvio ad un appropriata risposta di Business Continuity avere piani, processi e procedure per l attivazione, il coordinamento, la comunicazione, la gestione e la chiusura dell emergenza avere a disposizione le risorse per supportare i piani, i processi e le procedure nella gestione dell incidente comunicare con gli stakeholder, ovvero i principali attori coinvolti. Lo sviluppo e l attuazione di una risposta di Business Continuity derivano dalla creazione di un modello di gestione e da una struttura di gestione dell evento disastroso, di piani di Business Continuity e Disaster Recovery che dettagliano i passi da compiere durante e dopo un incidente per conservare o ripristinare l operatività. 6.2 La realtà SIA Per essere pronta ad affrontare una situazione di emergenza e/o crisi nel migliore dei modi SIA ha sviluppato le seguenti tipologie di soluzioni: Organizzative Logistiche Tecnologiche Soluzioni organizzative: Processo di Gestione delle Emergenze e dello Stato di Crisi SIA ha definito la struttura organizzativa necessaria al fine di gestire la procedura di escalation per la valutazione e l eventuale dichiarazione dello Stato di Crisi e quindi l attivazione di gruppi operativi di Business Continuity. Ha inoltre predisposto un Processo di Gestione delle Emergenze e dello Stato di Crisi al fine di descrivere le modalità di attivazione, le responsabilità ed i contatti necessari per gestire una situazione di emergenza e/o crisi in azienda. Il flusso descrittivo, di seguito riportato, mette in evidenza le modalità di attivazione dei Gruppi di Gestione della Business Continuity, le relative responsabilità e le modalità di trasferimento delle informazioni all interno ed all esterno dell azienda. Tutti i diritti riservati. Pagina 9 di 18

10 Il Processo di Gestione delle Emergenze e dello Stato di Crisi è caratterizzato da cinque fasi: Analisi dell Evento, Attivazione delle Unità di Crisi, Reazione, Gestione dello Stato di Crisi e Chiusura dello Stato di Crisi. Le condizioni aziendali di emergenza e/o crisi possono scaturire dall evoluzione di due tipologie di eventi: ICT e NO ICT. Per ICT si intende tutto ciò che concerne gli aspetti tecnologici, applicativi e operativi necessari per l erogazione dei servizi (di competenza dell ICT Incident Analysis Team). Per NO ICT si intende tutto ciò che concerne gli aspetti quali la sicurezza fisica, la logistica e gli impianti ausiliari (di competenza del Physical Incident Analysis Team) e gli aspetti di tipo organizzativo quali le problematiche relative al personale, alla sfera legale, all amministrazione, ai Media, ecc.. (di competenza dell Organizational Incident Analysis Team). Le azioni da porre in essere e le relative responsabilità di esecuzione quando in azienda è dichiarato uno stato di emergenza che impone l evacuazione dello stabile o di alcune zone per preservare l incolumità delle persone sono descritte in uno specifico Piano di emergenza per l incolumità delle persone e l evacuazione, che viene rivisto periodicamente Soluzioni organizzative: i Business Continuity Plan (BCP) delle Direzioni/Divisioni Il Processo di Gestione delle Emergenze e dello Stato di Crisi attiva i Business Continuity Plan (BCP) delle Direzioni/Divisioni. I Business Continuity Plan descrivono le modalità organizzative che ogni Direzione/Divisione deve seguire Tutti i diritti riservati. Pagina 10 di 18

11 per il ripristino e il controllo dei propri servizi a seguito della Dichiarazione dello Stato di Crisi in azienda da parte dell Amministratore Delegato. Nei Business Continuity Plan sono descritti gli scenari di disastro ipotizzati, la gestione dei contatti e delle comunicazioni durante l emergenza o crisi (risorse interne, fornitori, clienti, società partecipate/controllate), le azioni di contenimento e/o di contrasto ipotizzate per ogni scenario e la documentazione di riferimento. Inoltre, nei Business Continuity Plan sono riportati i nominativi del personale operativo da coinvolgere Soluzioni organizzative: i Disaster Recovery Plan (DRP) SIA ha predisposto e mantiene i Disaster Recovery Plan, insieme di documenti redatti per il ripristino delle infrastrutture tecniche ed applicative che descrivono le modalità e la tempistica di riattivazione presso il sito di Disaster Recovery Soluzioni logistiche Al fine di tutelarsi a fronte di eventi che possano minacciare la sicurezza dell azienda, SIA si è dotata di una sede attrezzata con le più moderne e sofisticate misure di sicurezza fisica, quali ad esempio un sistema di controllo accessi, intrusion detection, difesa perimetrale, rilevamento allagamenti e infiltrazioni, rilevazione fumo, antincendio, sistema di telecamere a circuito chiuso, gruppi di continuità. Inoltre, l edificio è costruito secondo norme antisismiche e l approvvigionamento dell energia elettrica avviene da due centrali elettriche differenti. Oltre a quanto sopra descritto, per rispondere in modo adeguato al verificarsi di un evento di tipo disastroso, SIA si è dotata di più sedi di lavoro (sulle quali sono dislocate le macchine e le risorse umane) e di un sito di Disaster Recovery al di fuori dell area urbana, dove è installata l infrastruttura necessaria per gestire la ripartenza dei servizi in caso di evento disastroso (per i servizi ritenuti critici dall azienda e per quelli contrattualizzati con i clienti); in sale distinte sono infatti dislocate apparecchiature di rete, macchine di sicurezza, dispositivi per la rete locale e altre apparecchiature necessarie per i processi di riattivazione dei servizi. Sono inoltre state predisposte alcune sale o data-room equipaggiate con work-station, collegamenti con più provider, telefoni satellitari, denaro, strumenti di documentazione Soluzioni tecnologiche Il sito di Disaster Recovery è allestito con piattaforme tecnologiche dotate di capacità elaborativa equivalente a quelle del sito primario. I dispositivi hardware basilari sono ridondati o hanno adeguate caratteristiche di fault tolerant sia nel sito primario che in quello di Disaster Recovery. Sono stati inoltre siglati specifici contratti di manutenzione con adeguati Livelli di Servizio sui tempi di intervento o risoluzione. Le soluzioni architetturali di Disaster Recovery adottate permettono di realizzare specifiche tipologie di configurazione dell infrastruttura tecnologica, al fine di soddisfare i Livelli di Servizio e le direttive delle Istituzioni. L architettura della rete locale, della rete geografica SIANet.NG e dell accesso alla rete telefonica sono state progettate e realizzate per garantire la stessa affidabilità e lo stesso dimensionamento della rete presente presso la sede di produzione. Il sito primario ed il sito di DR sono connessi tramite fibre ottiche dedicate e diversificate nei percorsi e nei fornitori utilizzati. Tutti i diritti riservati. Pagina 11 di 18

12 Tutti i dati necessari all attivazione dei sistemi e servizi in Disaster Recovery sono replicati nel sito secondario, nelle modalità sincrona o asincrona consistente, consentendo un Recovery Point Objective (RPO) che varia da zero a qualche minuto, sulla base degli SLA contrattuali e dei requisiti prestazionali definiti Coinvolgimento della clientela La completa realizzazione della Business Continuity non può prescindere dallo sviluppo di un rapporto di collaborazione diretto con la propria Clientela, che rende possibile l analisi, la definizione e l implementazione di tutte le misure congiunte per la gestione della Crisi e per il recupero dei servizi e delle tecnologie di supporto quali, ad esempio, linee, apparati di sicurezza e connessioni ai Circuiti Internazionali. In tal senso SIA concorda coi propri clienti le modalità di reciproca collaborazione, quali: la definizione degli RTO e degli RPO, le connessioni da utilizzare in caso di disastro, i riferimenti da contattare per le comunicazioni generali, le azioni da compiere in caso di attivazione dell infrastruttura tecnico-applicativa dal sito di Disaster Recovery, la pianificazione dei test. Per qualsiasi comunicazione inerente i servizi erogati, SIA mette a disposizione dei propri Clienti il servizio Service Desk, contattabile al numero: oppure tramite mail all indirizzo: Documentazione di Business Continuity e Disaster Recovery La documentazione emessa per il Sistema di Gestione della Business Continuity (BCMS) viene archiviata in elettronico sul sistema documentale aziendale. Al fine di avere a disposizione una copia della documentazione di Business Continuity e di Disaster Recovery in modo immediato anche in caso di emergenza o crisi, sono stati predisposti degli armadi destinati all archiviazione cartacea, presso i siti di Disaster Recovery Revisione del Sistema di Gestione della Business Continuity SIA effettua periodicamente, o a fronte di variazioni rilevanti, una revisione di tutto il Sistema di Gestione della Business Continuity (BCMS) per assicurare la sua rispondenza ed adeguatezza a fronte di cambiamenti normativi, organizzativi, strategici e legislativi. Tutti i diritti riservati. Pagina 12 di 18

13 7. EXERCISING, MAINTAINING AND REVIEWING 7.1 Cosa prevede la BS Un Business Continuity Management System non può considerarsi affidabile se non viene regolarmente testato ed aggiornato adeguatamente. Questa fase comprende tre attività: Esercitazioni Mantenimento Revisione 7.2 La realtà SIA Esercitazioni SIA effettua periodicamente test ed esercitazioni di Business Continuity e di Disaster Recovery, che possono essere di tipo: Organizzativo (ad esempio: test del Processo di gestione delle emergenze, test dei Business Continuity Plan,...) Logistico (prove di evacuazione degli edifici) Tecnologico (test di Disaster Recovery) SIA, in qualità di Infrastruttura Qualificata, partecipa inoltre a test di natura sistemica organizzati dal gruppo CODISE (Banca d Italia). I test di Business Continuity sono effettuati per verificare l efficacia e l efficienza del Processo di Gestione delle Emergenze, verificare l adeguatezza, la completezza e la funzionalità dei Business Continuity Plan e delle procedure a supporto, valutare la preparazione dei gruppi di gestione della Business Continuity e l efficacia del programma di awareness/training, sviluppare e diffondere la conoscenza e la sensibilità sulle tematiche di Business Continuity in azienda. I test di Disaster Recovery sono necessari per valutare la funzionalità e l efficienza delle strutture di backup delle infrastrutture tecnologiche e mantenere aggiornati gli skill delle persone coinvolte. Con cadenza annuale SIA predispone il Piano dei Test di Business Continuity e il Piano dei Test di Disaster Recovery Mantenimento SIA ha un processo di aggiornamento della documentazione grazie al quale ogni cambiamento, interno ed esterno, che abbia impatto sull azienda, viene recepito all interno della gestione della Business Continuity/Disaster Recovery. Tutti i diritti riservati. Pagina 13 di 18

14 7.2.3 Revisione SIA effettua periodicamente una revisione del proprio Business Continuity Management System al fine di verificare l efficacia, l efficienza e la continua adeguatezza dello stesso e delle relative politiche, strategie ed obiettivi e di identificare le eventuali necessità di adeguamento, attuando le opportune azioni correttive e di miglioramento. L attività di revisione del sistema si concretizza attraverso: il Riesame della Direzione (Management Review) le Verifiche Ispettive Interne periodiche le Verifiche Ispettive Esterne (Mantenimento della Certificazione con DNV) Il Riesame della Direzione viene periodicamente effettuato con la Direzione aziendale. Ha l obiettivo di verificare il grado di adeguatezza del Business Continuity Management System a seguito dell evoluzione delle regole e dei requisiti espressi negli standard di riferimento/normative e di individuare specifiche attività atte a garantirne il suo mantenimento. Con cadenza annuale SIA predispone il Piano annuale delle Verifiche Ispettive ed effettua le Verifiche Ispettive Interne. Tutti i diritti riservati. Pagina 14 di 18

15 8. EMBEDDING BCM IN THE ORGANIZATION S CULTURE 8.1 Cosa prevede la BS Per rafforzare e diffondere la cultura di Business Continuity in azienda, è necessario che il BCMS venga considerato un valore chiave per l azienda e venga sponsorizzato da parte del top management aziendale. Per fare ciò SIA svolge le seguenti attività: Educazione ed informazione (Awareness) Formazione (Training) Esercitazioni (Test/collaudo) 8.2 La realtà di SIA Awareness e Training Il successo del processo di Business Continuity dipende anche dalla consapevolezza da parte del personale aziendale dei processi e dei servizi nonché delle attività da svolgere per garantirne la continuità. A tal proposito, SIA ha un processo continuo di educazione ed informazione (Awareness) che permetta la diffusione della consapevolezza dell importanza del BCMS al personale dell azienda. La formazione (Training) è rivolta sia al management sia al personale operativo. SIA effettua formazione attraverso sessioni in aula, sessioni di training del personale preposto a incarichi specifici ed esercitazioni sulla base del Programma di awareness/training di Business Continuity sviluppato periodicamente. Tutti i diritti riservati. Pagina 15 di 18

16 9. ALLEGATO 1 - GLOSSARIO DI BUSINESS CONTINUITY MANAGEMENT Da: BS :2007 British standard-business Continuity Management - Part 2: Specification Terms activity audit business continuity business continuity management (BCM) business continuity management lifecycle business continuity management personnel business continuity management programme business continuity management response business continuity management system (BCMS) business continuity plan (BCP) business continuity strategy business impact analysis (BIA) Definitions process or set of processes undertaken by an organization (or on its behalf) that produces or supports one or more products or services systematic examination to determine whether activities and related results conform to planned arrangements and whether these arrangements are implemented effectively and are suitable for achieving the organization s policy and objectives strategic and tactical capability of the organization to plan for and respond to incidents and business disruptions in order to continue business operations at an acceptable pre-defined level holistic management process that identifies potential threats to an organization and the impacts to business operations that those threats, if realized, might cause, and which provides a framework for building organizational resilience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value creating activities series of business continuity activities which collectively cover all aspects and phases of the Business Continuity Management Programme those assigned responsibilities defined in the BCMS, those accountable for BCM policy and its implementation, those who implement and maintain the BCMS, those who use or invoke the business continuity and incident management plans, and those with authority during an incident ongoing management and governance process supported by top management and appropriately resourced to ensure that the necessary steps are taken to identify the impact of potential losses, maintain viable recovery strategies and plans, and ensure continuity of products and services through training, exercise, maintenance and review element of BCM concerned with the development and implementation of appropriate plans and arrangements to ensure continuity of critical activities, and the management of an incident that part of the overall management system that establishes, implements, operates, monitors, reviews, maintains and improves business continuity documented collection of procedures and information that is developed, compiled and maintained in readiness for use in an incident to enable an organization to continue to deliver its critical activities at an acceptable predefined level approach by an organization that will ensure its recovery and continuity in the face of a disaster or other major incident or business disruption process of analysing business functions and the effect that a business disruption might have upon them Tutti i diritti riservati. Pagina 16 di 18

17 Terms consequence cost-benefit analysis critical activities disruption emergency planning exercise gain impact incident incident management plan (IMP) internal audit invocation likelihood loss management system maximum tolerable period of disruption nonconformity organization process product and services recovery time objective resilience Definitions outcome of an incident that will have an impact on an organization s objectives financial technique that measures the cost of implementing a particular solution and compares this with the benefit delivered by that solution those activities which have to be performed in order to deliver the key products and services which enable an organization to meet its most important and time-sensitive objectives event, whether anticipated (eg. a labour strike or hurricane) or unanticipated (eg. blackout or earthquake), which causes an unplanned, negative deviation from the expected delivery of products or services according to the organization s objectives development and maintenance of agreed procedures to prevent, reduce, control, mitigate and take other actions in the event of a civil emergency activity in which the business continuity plan(s) is rehearsed in part or in whole to ensure that the plan(s) contains the appropriate information and produces the desired result when put into effect positive consequence evaluated consequence of a particular outcome situation that might be, or could lead to, a business disruption, loss, emergency or crisis clearly defined and documented plan of action for use at the time of an incident, typically covering the key personnel, resources, services and actions needed to implement the incident management process audit conducted by, or on behalf of, the organization itself for management review and other internal purposes, and which might form the basis for an organization s self-declaration of conformity act of declaring that an organization s business continuity plan needs to be put into effect in order to continue delivery of key products or services chance of something happening, whether defined, measured or estimated objectively or subjectively, or in terms of general descriptors (such as rare, unlikely, likely, almost certain), frequencies or mathematical probabilities negative consequence system to establish policy and objectives and to achieve those objectives duration after which an organization s viability will be irrevocably threatened if product and service delivery cannot be resumed non-fulfilment of a requirement group of people and facilities with an arrangement of responsibilities, authorities and relationships set of interrelated or interacting activities which transforms inputs into outputs beneficial outcomes provided by an organization to its consumers, recipients and stakeholders, eg manufactured items, car insurance, regulatory compliance and community nursing target time set for resumption of product, service or activity delivery after an incident ability of an organization to resist being affected by an incident Tutti i diritti riservati. Pagina 17 di 18

La Business Continuity in SIA

La Business Continuity in SIA Scopo del documento: Il presente documento descrive come SIA sviluppa, implementa e mantiene il proprio Sistema di Gestione della Continuità Operativa, in applicazione di quanto descritto nelle Linee Guida

Dettagli

La Business Continuity in SIA

La Business Continuity in SIA Scopo del documento: Il presente documento descrive come SIA sviluppa, implementa e mantiene il proprio Sistema di Gestione della Continuità Operativa, in applicazione di quanto descritto nelle Linee Guida

Dettagli

GL Solutions. da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato

GL Solutions. da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato ORBIT Overview GL Solutions da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato Associata al Consorzio ABILab Certificazioni BS25999 IBM Business

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A.

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A. IL BS7799 Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it Sistemi Informativi S.p.A. ALCUNI CONCETTI FONDAMENTALI Sistemi Informativi S.p.A. 2 ATTIVITA DELLA SECURITY STUDIO, SVILUPPO ED

Dettagli

Continuità operativa - FAQ

Continuità operativa - FAQ Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione

Dettagli

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico

Dettagli

Sicurezza informatica. Strumento basilare per la business continuity

Sicurezza informatica. Strumento basilare per la business continuity Sicurezza informatica Strumento basilare per la business continuity CLUSIT- Associazione Italiana per la Sicurezza Informatica Associazione "no profit" con sede presso l'università degli studi di Milano,Dipartimento

Dettagli

Tanta fatica solo per un bollino ne vale davvero la pena?

Tanta fatica solo per un bollino ne vale davvero la pena? Tanta fatica solo per un bollino ne vale davvero la pena? Relatori: Paolo SFERLAZZA Alberto PERRONE Relatori Paolo Sferlazza Security Advisor CISA,LA27001,LA22301,OPST, COBIT 5, ITIL,LA9001,ISFS, ITSM,ISMA

Dettagli

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES 1 CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT Il corso è finalizzato a illustrare in dettaglio le competenze richieste al Business Continuity Manager per guidare un progetto BCM e/o gestire

Dettagli

Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015

Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015 Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015 I requisiti per la gestione del rischio presenti nel DIS della nuova ISO 9001:2015 Alessandra Peverini Perugia 9/09/2014 ISO

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Strategie e processi per salvaguardare il valore aziendale

Strategie e processi per salvaguardare il valore aziendale Business Continuity Strategie e processi per salvaguardare il valore aziendale A cura di: Alfredo Bertini Governance, Quality & Safety Manager Direzione Legal, Governance & Compliance Agenda: Roche Italy

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

La Governance come strumento di valorizzazione dell'it verso il business

La Governance come strumento di valorizzazione dell'it verso il business La Governance come strumento di valorizzazione dell'it verso il business Livio Selvini HP IT Governance Senior Consultant Vicenza, 24 novembre Hewlett-Packard Development Company, L.P. The information

Dettagli

Seminario tecnico - Commissione ICT L affidabilità delle strutture ICT critiche

Seminario tecnico - Commissione ICT L affidabilità delle strutture ICT critiche Seminario tecnico - Commissione ICT L affidabilità delle strutture ICT critiche Parte 2 - Architetture ICT e soluzioni organizzative per BC e DR, standard, normativa banche e PA Lead Auditor ISO 22301

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Business Continuity Governance: ORBIT per il nuovo CAD

Business Continuity Governance: ORBIT per il nuovo CAD Business Continuity Governance: ORBIT per il nuovo CAD Il nuovo CAD articolo 50-bis E obbligatorio per le Pubbliche Amministrazioni italiane la definizione di : UN PIANO DI CONTINUITÀ OPERATIVA che fissa

Dettagli

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009 Insight N. 24 Maggio 2009 Gestire e comunicare la crisi: un caso di successo Il termine crisi suggerisce istintivamente un momento, nella vita di una persona o di un azienda, dalle conseguenze non prevedibili

Dettagli

N 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti.

N 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti. ERRATA CORRIGE N 1 alla versione bilingue (italiano-inglese) DEL 31 luglio 2009 NORMA UNI EN ISO 9001 (novembre 2008) TITOLO Sistemi di gestione per la qualità - Requisiti Punto della norma Pagina Oggetto

Dettagli

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301. P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301. P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a CERTIQUALITY La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301 Dott. Nicola Gatta Direzione Marketing & Industry Management

Dettagli

Company Management System SIA - Processi e Sistemi di Gestione

Company Management System SIA - Processi e Sistemi di Gestione Company Management System SIA - Processi e Sistemi di Gestione Redatto da: Verificato da: Approvato da: Stefano Canetta RGO Lorenzo Verducci HRO Alessandra Carazzina RGO David Neumarker HRO Marco Ornito

Dettagli

2 Congresso Nazionale Banche Club TI

2 Congresso Nazionale Banche Club TI 2 Congresso Nazionale Banche Club TI Verona 24 giugno 2005 Gianpietro Ravasio Direttore Tecnologia e Gestione Produzione 1 Auditorium del Banco Popolare di Verona e Novara Centro Servizi - Via Meucci,

Dettagli

www.fire-italia.org Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona

www.fire-italia.org Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona La norma ISO 50001 Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona I problemi dell energy management Fondamentalmente l EM è richiesto per risparmiare sui costi aziendali. Costi sempre

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

Auditorium dell'assessorato Regionale Territorio e Ambiente

Auditorium dell'assessorato Regionale Territorio e Ambiente Auditorium dell'assessorato Regionale Territorio e Ambiente Università degli Studi di Palermo Prof. Gianfranco Rizzo Energy Manager dell Ateneo di Palermo Plan Do Check Act (PDCA) process. This cyclic

Dettagli

CERTIQUALITY. Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity

CERTIQUALITY. Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity Per una migliore qualità della vita CERTIQUALITY Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity Dott. Nicola Gatta Direzione

Dettagli

La condensazione della nuvola

La condensazione della nuvola La condensazione della nuvola BS ISO/IEC 27001: 2005 e cloud computing Come si trattano i gas? Rendendoli liquidi Comprimendoli e inserendoli in contenitori CONDENSANDOLI allora possono essere trattati,

Dettagli

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo IX Convention ABI L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo BPR e BCM: due linee di azione per uno stesso obiettivo Ing. Alessandro Pinzauti Direttore

Dettagli

Company Management System SIA - Processi e Sistemi di Gestione. Dominio di Applicazione

Company Management System SIA - Processi e Sistemi di Gestione. Dominio di Applicazione Company Management System SIA - Processi e Sistemi di Gestione Codice Documento Classificazione Dominio di Applicazione Pubblica SIA SOMMARIO SOMMARIO... 2 1 OBIETTIVO DEL DOCUMENTO... 4 2 PRESENTAZIONE

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management 2015 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Framework Lo standard

Dettagli

Procedure d emergenza e Business Continuity Plan. Dott. Ing. Alfiero Ortali Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia

Procedure d emergenza e Business Continuity Plan. Dott. Ing. Alfiero Ortali Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia Procedure d emergenza e Business Continuity Plan Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia Loreto Ottobre 2011 La business continuity è in sostanza l insieme di attività

Dettagli

Università di Macerata Facoltà di Economia

Università di Macerata Facoltà di Economia Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia 01 Angelo Micocci: fonti e definizioni 1 Obiettivo della lezione Internal Control

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

BANCA D ITALIA AIEA 2007. Relatore: Tullio Prà Servizio Vigilanza sugli Enti Creditizi Banca d Italia

BANCA D ITALIA AIEA 2007. Relatore: Tullio Prà Servizio Vigilanza sugli Enti Creditizi Banca d Italia XXI Convegno Nazionale Information Systems Auditing Accademia Navale di Livorno, 24-25 Maggio 2007 La Continuità operativa nel sistema bancario italiano Relatore: Tullio Prà Servizio Vigilanza sugli Enti

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

Processi di Gestione dei Sistemi ICT

Processi di Gestione dei Sistemi ICT Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,

Dettagli

MANDATO DELLA FUNZIONE AUDIT. (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015)

MANDATO DELLA FUNZIONE AUDIT. (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015) MANDATO DELLA FUNZIONE AUDIT (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015) 1 INDICE DEI CONTENUTI 1. INTRODUZIONE E FINALITA DEL DOCUMENTO 2. MISSIONE 3. AMBITO 4. PROFESSIONALITA

Dettagli

PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice

PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice OUR PHILOSOPHY PIRELLI ENTERPRISE RISK MANAGEMENT POLICY ERM MISSION manage risks in terms of prevention and mitigation proactively seize the

Dettagli

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Evoluzione delle normative di riferimento della Information Security ed analisi delle principali novità introdotte di Cesare Gallotti

Dettagli

Come favorire la competitività e la sostenibilità con la nuova ISO 9001:2015

Come favorire la competitività e la sostenibilità con la nuova ISO 9001:2015 Come favorire la competitività e la sostenibilità con la nuova ISO 9001:2015 Lucio Galdangelo - Fieramilano 02/10/2014 Come cambierà la norma ISO 9001 2015 ISO 9001:2015 2012 New Work Item Proposal per

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz

LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz Il Nuovo Codice dell Amministrazione Digitale: opportunità per i cittadini, adempimenti per le amministrazioni Napoli, 28 aprile 2011 LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz Introduzione alla

Dettagli

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi Seminari Eucip, Esercizio di Sistemi Informativi Service Delivery and Support Dipartimento di Informtica e Sistemistica Università di Roma La Sapienza ITIL.1 Relazioni con il.2 Pianificazione.3 Gestione

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Raoul Savastano Responsabile Security Services Kpmg Information

Dettagli

BS OHSAS 18001:2007 in ambito sanitario: l esperienza presso gli Istituti Clinici Zucchi

BS OHSAS 18001:2007 in ambito sanitario: l esperienza presso gli Istituti Clinici Zucchi BS OHSAS 18001:2007 in ambito sanitario: l esperienza presso gli Istituti Clinici Zucchi 17/07/2012 1 Dott.ssa Francesca Leonardi RSPP-RSGSSL Istituti Clinici Zucchi. ORGANISMO AZIENDA SANITARIA : COGENZA

Dettagli

EasyGov Solutions Srl. Start-up del Politecnico di Milano

EasyGov Solutions Srl. Start-up del Politecnico di Milano EasyGov Solutions Srl Start-up del Politecnico di Milano Continuità Operativa ICT e Disaster Recovery 2 Il contesto - 1 Continuità operativa Generale Persone, Impianti, Infrastrutture, documenti, norme,

Dettagli

LE NOVITÀ DELL EDIZIONE 2011 DELLO STANDARD ISO/IEC 20000-1 E LE CORRELAZIONI CON IL FRAMEWORK ITIL

LE NOVITÀ DELL EDIZIONE 2011 DELLO STANDARD ISO/IEC 20000-1 E LE CORRELAZIONI CON IL FRAMEWORK ITIL Care Colleghe, Cari Colleghi, prosegue la nuova serie di Newsletter legata agli Schemi di Certificazione di AICQ SICEV. Questa volta la pillola formativa si riferisce alle novità dell edizione 2011 dello

Dettagli

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

MANUALE DELLA QUALITÀ Pag. 1 di 10

MANUALE DELLA QUALITÀ Pag. 1 di 10 MANUALE DELLA QUALITÀ Pag. 1 di 10 INDICE IL SISTEMA DI GESTIONE DELLA QUALITÀ Requisiti generali Responsabilità Struttura del sistema documentale e requisiti relativi alla documentazione Struttura dei

Dettagli

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi

Dettagli

Vision strategica della BCM

Vision strategica della BCM Vision strategica della BCM BCM Ticino Day 2015 Lugano 18 settembre 2015 Susanna Buson Business Continuity Manager and Advisor CBCP, MBCI Agenda Business Continuity vs Business Resilience Business Continuity

Dettagli

Urbi DR-ASP. Descrizione servizio di DR per ASP. Aprile 2012

Urbi DR-ASP. Descrizione servizio di DR per ASP. Aprile 2012 Urbi DR-ASP Aprile 2012 Descrizione servizio di DR per ASP PA DIGITALE Spa Documento Riservato Ultima Revisione luglio 2012 E fatto divieto la copia, la riproduzione e qualsiasi uso di questo P.1/3 Premessa...

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Qualification Program in IT Service Management according to ISO/IEC 20000. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in IT Service Management according to ISO/IEC 20000. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in IT Service Management according to ISO/IEC 20000 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 20000 L IT Service Management secondo

Dettagli

La Guida ANFIA sul BCM Una presentazione in 7 punti. M. Terzago, SKF Group, Coordinatore GdL ANFIA G. Celeri, Marsh Risk Consulting, Membro GdL ANFIA

La Guida ANFIA sul BCM Una presentazione in 7 punti. M. Terzago, SKF Group, Coordinatore GdL ANFIA G. Celeri, Marsh Risk Consulting, Membro GdL ANFIA La Guida ANFIA sul BCM Una presentazione in 7 punti M. Terzago, SKF Group, Coordinatore GdL ANFIA G. Celeri, Marsh Risk Consulting, Membro GdL ANFIA Milano, 15 Giugno, 2015 1) PERCHÈ QUESTA NUOVA GUIDA

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL A

Corso di Amministrazione di Sistema Parte I ITIL A Corso di Amministrazione di Sistema Parte I ITIL A Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

Le norme della Qualità

Le norme della Qualità Le norme ISO9000 e la loro evoluzione L evoluzione delle ISO 9000 in relazione alla evoluzione delle prassi aziendali per la Qualita 3 Evoluzione della serie ISO 9000 2 1 Rev. 1 ISO 9000 Rev. 2 ISO 9000

Dettagli

tt CLOUD THINK HIGHER WORK LIGHTER

tt CLOUD THINK HIGHER WORK LIGHTER tt CLOUD THINK HIGHER WORK LIGHTER tt CLOUD SERVIZI DI HOSTING Oggi sono sempre di più le piccole e medie imprese che scelgono di virtualizzare la capacità di un server e le applicazioni aziendali risparmiando

Dettagli

Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL

Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL Al servizio dei professionisti dell IT Governance Capitolo di Milano Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL Valter Tozzini - ItSMF Italia Paola Belforte - ItSMF

Dettagli

Procedura. Politica in materia di salute, sicurezza, ambiente, energia e incolumità pubblica. enipower. POL.HSE.pro-01_ep_r03. POL.HSE.

Procedura. Politica in materia di salute, sicurezza, ambiente, energia e incolumità pubblica. enipower. POL.HSE.pro-01_ep_r03. POL.HSE. Procedura Politica in materia di salute, sicurezza, ambiente, energia e incolumità pubblica. TITOLO PROCEDURA TITOLO PRPOCEDURA TITOLO PROCEDURA MSG DI RIFERIMENTO: HSE 1 Frontespizio TITOLO: Politica

Dettagli

Pubblicazioni COBIT 5

Pubblicazioni COBIT 5 Pubblicazioni COBIT 5 Marco Salvato CISA, CISM, CGEIT, CRISC, COBIT 5 Foundation, COBIT 5 Trainer 1 SPONSOR DELL EVENTO SPONSOR DI ISACA VENICE CHAPTER CON IL PATROCINIO DI 2 La famiglia COBIT 5 3 Aprile

Dettagli

IS Governance in action: l esperienza di eni

IS Governance in action: l esperienza di eni IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo

Dettagli

Direzione ICT. KeyClient Cards & Solutions. Manuale Business Continuity Management. Versione 1.2. Manuale BCM

Direzione ICT. KeyClient Cards & Solutions. Manuale Business Continuity Management. Versione 1.2. Manuale BCM KeyClient Cards & Solutions Direzione ICT Manuale Business Continuity Management Versione 1.2 Pagina 1 di 35 Pagina lasciata intenzionalmente in bianco Pagina 2 di 35 Indice 1 INTRODUZIONE... 4 2 AMBITO

Dettagli

Il Sistema di Gestione della Business Continuity Un percorso obbligatorio per la resilienza organizzativa

Il Sistema di Gestione della Business Continuity Un percorso obbligatorio per la resilienza organizzativa Il Sistema di Gestione della Business Continuity Un percorso obbligatorio per la resilienza organizzativa Gianna Detoni, AFBCI Presidente di PANTA RAY BCI Italian Forum Leader 1 Roma, 9 ottobre 2015 AGENDA

Dettagli

ISO 9001:2015. Il processo di revisione 16/11/2014. Verso l ISO 9001:2015 gli steps del processo di revisione

ISO 9001:2015. Il processo di revisione 16/11/2014. Verso l ISO 9001:2015 gli steps del processo di revisione ISO 9001:2015 Il processo di revisione 1 Verso l ISO 9001:2015 gli steps del processo di revisione Marzo 2014: meeting ISO a Parigi ha completato la preparazione dell ISO/DIS 9001 (riesame dei commenti

Dettagli

HSE Manager. L Integrazione delle analisi di rischio tipiche del ruolo con i processi di risk management aziendali

HSE Manager. L Integrazione delle analisi di rischio tipiche del ruolo con i processi di risk management aziendali Data 21 settembre 2016 HSE Manager L Integrazione delle analisi di rischio tipiche del ruolo con i processi di risk management aziendali Agenda: La necessità di confronto ed integrazione dell analisi del

Dettagli

LA NUOVA ISO 9001:2015

LA NUOVA ISO 9001:2015 Aspettative e confronto con la versione 2008 Vincenzo Paolo Maria Rialdi Lead Auditor IRCA Amministratore Delegato e Direttore Tecnico Vevy Europe S.p.A. 2/9 BREVE STORIA DELLA NORMA ISO 9000 standard

Dettagli

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale;

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale; Presentazione Blu Consulting è una società di consulenza direzionale certificata ISO 9001:2008, fondata da Mauro Masciarelli nel 2009, specializzata nella revisione delle strategie di business, adeguamento

Dettagli

Sicurezza informatica nelle Pubbliche Amministrazioni

Sicurezza informatica nelle Pubbliche Amministrazioni La continuitá operativa nelle Pubbliche Amministrazioni Bolzano, 28.02.2012 Dott. Giovanni Rellini Lerz Definizione di business continuity (BC) o continuità operativa (CO) (Da BS 25999-2:2007) Business

Dettagli

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI:

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI: IL PRESIDENTE VISTO il decreto legislativo 12 aprile 2006, n. 163 e successive modifiche ed integrazioni, in particolare l art. 8, comma 2, ai sensi del quale l Autorità stabilisce le norme sulla propria

Dettagli

Ingegneria del Software Testing. Corso di Ingegneria del Software Anno Accademico 2012/2013

Ingegneria del Software Testing. Corso di Ingegneria del Software Anno Accademico 2012/2013 Ingegneria del Software Testing Corso di Ingegneria del Software Anno Accademico 2012/2013 1 Definizione IEEE Software testing is the process of analyzing a software item to detect the differences between

Dettagli

Guida alla redazione del Business Continuity Plan per gli intermediari finanziari

Guida alla redazione del Business Continuity Plan per gli intermediari finanziari www.compliancenet.it www.prometeomc.it Guida alla redazione del Business Continuity Plan per gli intermediari finanziari 22 luglio 2010 - versione 1.0 http://www.compliancenet.it/content/guida-business-continuity

Dettagli

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti L adozione di COBIT come strumento di IS Governance. Stato dell arte, risultati e fattori critici di successo nelle esperienze analizzate. Elisa Pozzoli, Gianluca Salviotti Copyright SDA Bocconi Elisa

Dettagli

Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT. Certificato ITIL Foundation in IT Service Management SYLLABUS

Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT. Certificato ITIL Foundation in IT Service Management SYLLABUS Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT Certificato ITIL Foundation in IT Service Management SYLLABUS Page 1 of 11 IL CERTIFICATO ITIL FOUNDATION IN IT SERVICE MANAGEMENT La

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro Alberto Alberto ANDREANI ANDREANI Via Mameli, 72 int. 201/C Via Mameli, 72 int. 201/C 61100 PESARO Tel. 0721.403718 61100 PESARO Tel. 0721.403718 e.mail andreani@pesaro.com e.mail andreani@pesaro.com Guida

Dettagli

Services Portfolio per gli Istituti Finanziari

Services Portfolio per gli Istituti Finanziari Services Portfolio per gli Istituti Finanziari Servizi di consulenza direzionale e sviluppo sulle tematiche di Security, Compliance e Business Continuity 2015 Summary Chi siamo Il modello operativo di

Dettagli

RISK & CRISIS MANAGEMENT come fronteggiare eventi imprevedibili con prontezza ed efficacia

RISK & CRISIS MANAGEMENT come fronteggiare eventi imprevedibili con prontezza ed efficacia con il sostegno di propongono il percorso formativo RISK & CRISIS MANAGEMENT come fronteggiare eventi imprevedibili con prontezza ed efficacia sede del corso: ISFOR 2000, via Pietro Nenni 30, Brescia periodo

Dettagli

Proteggere il proprio business. ISO 22301: continuità operativa.

Proteggere il proprio business. ISO 22301: continuità operativa. Proteggere il proprio business. ISO 22301: continuità operativa. Perché BSI? Grazie allo standard ISO 22301 l azienda può restare sempre operativa. La competenza di BSI in quest ambito può trasformare

Dettagli

Business continuity per la PA, G. Pontevolpe

Business continuity per la PA, G. Pontevolpe Business continuity per la PA Ing. Gianfranco Pontevolpe Centro Nazionale per l Informatica nella Pubblica Amministrazione Programma Generalità sul disaster recovery Disaster recovery e sicurezza Aspetti

Dettagli

ACCREDIA L ENTE ITALIANO DI ACCREDITAMENTO

ACCREDIA L ENTE ITALIANO DI ACCREDITAMENTO ACCREDIA L ENTE ITALIANO DI ACCREDITAMENTO ACCREDIA 14 Settembre 2012 Emanuele Riva Coordinatore dell Ufficio Tecnico 1-29 14 Settembre 2012 Identificazione delle Aree tecniche Documento IAF 4. Technical

Dettagli

We take care of your buildings

We take care of your buildings We take care of your buildings Che cos è il Building Management Il Building Management è una disciplina di derivazione anglosassone, che individua un edificio come un entità che necessita di un insieme

Dettagli

Direzione Centrale Sistemi Informativi

Direzione Centrale Sistemi Informativi Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING Il servizio, fornito attraverso macchine server messe

Dettagli