Sinottico. Cobit 4.0 ISO (AS/NZS 4360 NIST )

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)"

Transcript

1 Sinottico Cobit 4.0 ISO (AS/NZS 4360 NIST ) Indice generale Cobit Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5 ISO AS/NZS NIST OCSE...8 Linee guida...8 Princìpi...8 Versione 1.6 (22/06/07) OpenOffice.org

2 Cobit 4.0 Cobit [1] è un framework diviso in domìni o processi, sovente presentati a coppie. domìni - Processi Pianificazione Organizzazione Acquisizione Implementazione Rilascio Supporto Monitoraggio Valutazione Tabella 1: Cobit 4.0 domìni - Processi Ogni processo a sua volta è suddiviso in attività e controlli. L'elenco numerato rappresenta le attività, mentre l'elenco non ordinato rappresenta i controlli. La stella azzurra accanto ad alcune attività sta a significare la somiglianza o sovrapposizione con lo standard ISO [2] (Tratto dalla BS7799). Pianificazione 1. Strategie ICT Creazione del valore Allineamento obiettivi di business Valutazione delle performance 2. Architettura informativa Classificazione dei dati Integrità dei dati 3. Indirizzi tecnologici Monitoraggio trend Normative Organizzazione 1. Processi/Relazioni/Organizzazione Quadro di riferimento dei processi Struttura organizzativa Responsabilità sui rischi 2. Gestione investimenti Verifica processo di budgeting Verifica delle priorità

3 Verifica gestione costi e benefici 3. Comunicazione Comunicazione alla direzione Policy 4. Gestione risorse umane Reclutamento/Competenza/Performance 5. Gestione qualità Standard/Prassi/Monitoraggio 6. Gestione rischio/progetti Contesto Risposta al rischio Gestione risorse/modiche al progetto Acquisizione 1. Identificazione delle soluzioni Controllo requisiti tecnici Fattibilità 2. Acquisizione sistemi applicativi SQA (Software quality assurance) Requisiti di sicurezza 3. Infrastruttura tecnologica Definizione dei test/manutenzione 4. Acquisizione risorse Regole di acquisto hardware e software Implementazione 1. Abilitazione operatività Trasmissione conoscenza agli utenti, management 2. Gestione modifiche Report Procedure e standard 3. Installazione e configurazione Definizione ambienti di test

4 Test finale Rilascio 1. Livelli di servizio Definizione servizi SLA (Service level agreement) Revisione contratti e SLA 2. Gestione terze parti Relazione con i fornitori Monitoraggio 3. Gestione performance e capacità Capacity planning Reporting 4. Continuità di servizio Continuità ICT Piano di continuità Servizi di recovery 5. Sicurezza dei sistemi Gestione utenti Network security Identity management Definizione di incidenti Supporto 1. Identificazione e allocazione costi Definizione dei servizi Manutenzione 2. Formazione utenti Necessità informative Valutazione training 3. Supporto degli incidenti Log Trend/Analisi

5 Chiusura incidenti 4. Gestione problemi e configurazione Classificazione problemi Identificazione soluzioni 5. Gestione dati/operatività Backup Memorizzazione dati Procedure operative 6. Protezione fisica Monitoraggio/Valutazione 1. Valutazione delle attività Verifica risultati Self assessment Azioni correttive Conformità alla leggi Tutto questo per giungere a una valutazione dell'impresa in esame. Fornendo quindi al management uno strumento: maturity model dal quale è possibile evincere la situazione attuale. Il maturity model presenta cinque punti di posizionamento, dal peggiore al migliore: 1. Iniziale 2. Ripetibile 3. Definito 4. Gestito 5. Ottimizzato Cobit infine, si basa su princìpi: Affidabilità (efficacia: informazioni rilevanti, efficienza: gestione ottimale) Sicurezza (CIA Riservatezza, Integrità, Disponibilità) Qualità (Servizio: l'insieme delle risorse in una struttura organizzata per il governo e controllo delle prestazioni erogate, costo: per realizzare l'impianto iniziale) Risorse(Risorse umane, informazione, tecnologia, infrastrutture)

6 ISO L'ISO promuove l'approccio a processi, il quale prevede iterazione e interazione delle attività al fine di mantenere uno stabile sistema di gestione della sicurezza delle informazioni (SGSI). Vedi Plain Do Check Act (PDCA) vedi Illustrazione 1: Modello PDCA. ISO è composto da dieci ambiti di intervento: 1. Politiche per la sicurezza 2. Sicurezza dell'organizzazione 3. Classificazione e controllo dei beni 4. Sicurezza del personale 5. Sicurezza fisica e ambientale Ambiti di intervento Tabella 2: Ambiti di intervento ISO Gestione delle comunica./operazioni 7. Controllo accessi 8. Sviluppo e manutenzione software 9. Gestione continuità aziendale 10. Conformità a leggi/norme Per istituire un SGSI è necessario definire: l'ampiezza del sistema, un approccio sistematico alla valutazione dei rischi (Identificare il rischio valutarlo, trattarlo, inserire dei controlli). Una volta istituito il SGSI è possibile tramite il modello (PDCA) pianificare, realizzare, controllare, migliorare in modo iterativo. Il punto primo: politiche per la sicurezza, definisce le prassi e gli standard da adottare. Il secondo coordina gestisce e controlla, identifica le responsabilità e i compiti, identificazione dei rischi derivanti dall'accesso di terzi. Illustrazione 1: Modello PDCA Il terzo punto: classificazione e controllo dei beni, si occupa di fare l'inventario dei beni aziendali. Il quarto, si occupa della selezione del personale, della formazione etc.. Il quinto identifica dei rischi fisici per l'azienda, protezione da anomalie elettriche, manutenzione, clean desk/screen policy etc.

7 Il sesto punto gestisce le operazioni, procedure documentabili, procedure per la gestione di incidenti, pianificazione dei sistemi: capacity planning, backup, log, gestione dei media; mentre per la gestione delle comunicazioni, autenticazione, autorizzazioni: paradigma CIA. Controllo degli accessi: gestione delle password, diritti di accesso, policy aziendali etc. Il punto otto: sviluppo e manutenzione software, uso della crittografia: firme digitali, gestione delle chiavi. Per la gestione della continuità, piani di test, analisi degli impianti. Infine la conformità a leggi e norme, requisiti legali riesame e mantenimento delle prassi. AS/NZS 4360 È uno standard[3] per la gestione del rischio Australiano e della Nuova Zelanda. In Illustrazione 2: Metodologia AS/NZS 4360 è mostrata la metodologia. Elementi principali: 1. Comunicazione 2. Consultazione 3. Identificazione del contesto 4. Identificazione del rischio 5. Stima del rischio Ambiti di intervento 6. Valutazione del rischio 7. Trattamento del rischio 8. Monitoraggio e revisione Tabella 3: Elementi principali AS/NZS 4360 I primi due sono presenti in tutte le fasi. L'identificazione del contesto avviene attraverso gli obiettivi; contesto esterno all'impresa e interno (la struttura, i suoi obiettivi, la conoscenza interna). Illustrazione 2: Metodologia AS/NZS 4360 L'identificazione di rischio, avviene identificando un elenco esaustivo di sorgenti di rischio e gli eventi che possono avere un impatto negativo sugli obiettivi.

8 Stima del rischio comprensione del rischio, attraverso una stima quantitativa (Monte Carlo Decision Tree Analysis), semi-quantitativa (Risk Score) oppure, la più usata nel contesto nazionale: qualitativa. Valutazione del rischio sulla base della stima, bisogna valutare il rischio; si usano dei criteri di priorità: rischio intollerabile, valutabile, trascurabile. Trattamento del rischio un processo iterativo per trattare il rischio agendo anche sulle policy aziendali, e KPI (Key performance indicator). Monitoraggio e revisione periodica. NIST Pubblicato[4][5] dal National Institute of Standards and Technology.[6] (NIST), questo documento si propone di enunciare delle linee guida per la gestione del rischio nel contesto dell'information technology. L'obiettivo è quello di portare un impresa a: migliorare la sicurezza del sistema IT, archiviazione, comunicazione delle informazioni far comprendere l'importanza della gestione del rischio affinché sia possibile stanziare parte del budget IT alla realizzazione dell'analisi del rischio dare la possibilità alle imprese che investono in questa direzione di potersi certificare sulla base della documentazione creata dall'analisi di rischio La consapevolezza dell'importanza di questa valutazione è rivolta naturalmente ai tecnici IT ma anche alle persone che lavorano con l'it pur non essendo tecnici. Il rischio deve essere parte del processo di creazione di un sistema. Per l'analisi del rischio vi sono nove passi: Fasi di intervento 1. Analisi 2. Acquisizione 3. Implementazione 4. Mantenimento 5. Attuazione Tabella 4: Fasi NIST Attività NIST 1. Classificazione 2. Identificazione delle minacce 3. Identificazione vulnerabilità 4. Controllo stato attuale 5. Determinazione della Probabilità Tabella 5: NIST: risk assessment methodology 6. Impact Analisys 7. Stima del rischio 8. Controlli da attuare 9. Documentazione prodotta Ognuna di queste attività, ha un input e un output vedi Illustrazione 3: NIST porzione flowchart metodology. Nel primo caso, l'input sono i sistemi: hardware, software, le persone, le informazioni. Mentre l'output sono: la funzione dei sistemi, la criticità delle informazioni.

9 La differenza tra identificazione delle minacce e identificazione delle vulnerabilità: la prima, minacce, ha lo scopo di vedere la cronologia degli attacchi, le possibili minacce esistenti per i sistemi censiti nel primo passi. Mentre la seconda identificazione delle vulnerabilità, si propone di redarre la lista delle possibili vulnerabilità data in ingresso la lista dei sistemi, dei requisiti di sicurezza. Illustrazione 3: NIST porzione flowchart metodology Impact analisys in termini di perdita delle voci del paradigma CIA. (cfr. AS/NZS 4360 la voce di identificazione del contesto, stima del rischio) OCSE Linee guida In virtù dell'art.1 della Convenzione firmata il 14 dicembre 1960 ed entrata in vigore il 30 settembre 1961, l'organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) ha per obiettivo di favorire le politiche tese a: realizzare la maggiore espansione possibile dell'economia e dell'occupazione ed un innalzamento del livello di vita nei Paesi Membri, pur mantenendo la stabilità finanziaria, e di contribuire così allo sviluppo dell'economia mondiale; contribuire a una sana espansione economica nei Paesi Membri, e non membri, in via di sviluppo economico; contribuire all'espansione del commercio mondiale su una base multilaterale e non discriminatoria, in conformità agli impegni internazionali. Le Linee guida dell'ocse [7][8] sulla sicurezza dei sistemi e delle reti di informazione: verso una cultura della sicurezza sono state adottate sotto forma di Raccomandazione del

10 Consiglio in occasione della 1037ª sessione del Consiglio dell'ocse, il 25 luglio Princìpi 1. Sensibilizzazione Le parti interessate devono essere consapevoli della necessità di tutelare la sicurezza dei sistemi e delle reti d informazione e delle azioni che possono intraprendere per rafforzare la sicurezza. 2. Responsabilità Le parti interessate sono responsabili della sicurezza dei sistemi e delle reti d informazione 3. Risposta Le parti interessate devono operare tempestivamente e in uno spirito di cooperazione per prevenire, rilevare e rispondere agli incidenti di sicurezza. 4. Etica Le parti interessate devono rispettare i legittimi interessi delle altre parti. 5. Democrazia La sicurezza dei sistemi e delle reti d'informazione deve essere compatibile con i valori fondamentali di una società democratica. 6. Valutazione dei rischi Le parti interessate devono procedere a valutazioni dei rischi. 7. Concezione e applicazione della sicurezza Le parti interessate devono integrare la sicurezza quale elemento essenziale dei sistemi e delle reti d informazione. 8. Gestione della sicurezza Le parti interessate devono adottare un approccio globale della gestione della sicurezza. 9. Rivalutazione Le parti interessate devono esaminare e rivalutare la sicurezza dei sistemi e delle reti di informazione e introdurre adeguate modifiche nelle loro politiche, pratiche, azioni e le procedure di sicurezza

11 Bibliografia [1] ISACA, COBIT 4.0, 2005, [2] International Organization for Standardization (ISO) International Electrotechnical Commission (IEC), 27001, 2005, [3] Standard Australian and New Zeland, Risk Management AS/NZS 4360:2004, 2004, [4] NIST, Pubblicazioni, 2007, [5] NIST, Risk Management Guide for Information Technology Systems, 2002, [6] NIST, Home Page, 2007, [7] OCSE, Linee guida dell'ocse sulla sicurezza dei sistemi e delle reti d'informazione, 2002, [8] OCSE, Linee guida dell'ocse sulla sicurezza dei sistemi e delle reti d'informazione, 2002,

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

Processi di Gestione dei Sistemi ICT

Processi di Gestione dei Sistemi ICT Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved. ISO/IEC 2700:2013 Principali modifiche e piano di transizione alla nuova edizione ISO/IEC 27001 La norma ISO/IEC 27001, Information technology - Security techniques - Information security management systems

Dettagli

Progetto di Information Security

Progetto di Information Security Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza

Dettagli

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010 Le certificazioni di sicurezza e la direttiva europea 114/08 Roma, 27 Maggio 2010 1 Presentazione Relatore Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia,

Dettagli

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 IT Governance: scelte e soluzioni Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 Agenda 1. Presentazione 2. IT Governance 3. I quadri di riferimento 4. Le attività di controllo 5. Privacy

Dettagli

Associazione Italiana Information Systems Auditors

Associazione Italiana Information Systems Auditors Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:

Dettagli

I Sistemi Gestione Energia e il ruolo dell energy manager

I Sistemi Gestione Energia e il ruolo dell energy manager I Sistemi Gestione Energia e il ruolo dell energy manager Valentina Bini, FIRE 27 marzo, Napoli 1 Cos è la FIRE La Federazione Italiana per l uso Razionale dell Energia è un associazione tecnico-scientifica

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

VALUTAZIONE DEL LIVELLO DI SICUREZZA

VALUTAZIONE DEL LIVELLO DI SICUREZZA La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione

Dettagli

Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive

Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive Comitato SGQ Comitato Ambiente Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive Mercoledì, 23 febbraio 2005 - Palazzo FAST (Aula Morandi) Piazzale Morandi, 2 - Milano E' una

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Information technology e sicurezza aziendale. Como, 22 Novembre 2013 Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste

Dettagli

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

5.1.1 Politica per la sicurezza delle informazioni

5.1.1 Politica per la sicurezza delle informazioni Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.

Dettagli

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni Ente di normazione per le Tecnologie Informatiche e loro applicazioni Ente federato all UNI studiare ed elaborare norme nazionali,

Dettagli

Il corretto approccio al Sistema di Gestione Aziendale per la Sicurezza e Salute OHSAS 18001:2007

Il corretto approccio al Sistema di Gestione Aziendale per la Sicurezza e Salute OHSAS 18001:2007 Il corretto approccio al Sistema di Gestione Aziendale per la Sicurezza e Salute OHSAS 18001:2007 GENERALITA Il Sistema di Gestione Aziendale rappresenta la volontà di migliorare le attività aziendali,

Dettagli

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 _ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione

Dettagli

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%)

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%) ESAME CISA 2003: 1. Gestione, pianificazione ed organizzazione SI (11%) 2. Infrastrutture tecniche e prassi operative (13%) 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

ISO 27000 family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

ISO 27000 family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo ISO 27000 family La GESTIONE DEI RISCHI Nei Sistemi di Gestione Autore: R.Randazzo La Norme che hanno affrontato il Tema della gestione dei rischi Concetto di Rischio Agenda Il Rischio all interno della

Dettagli

Modulo 1 Concetti di base della Qualità

Modulo 1 Concetti di base della Qualità Syllabus rev. 1.04 Modulo 1 Concetti di base della Qualità Il seguente Syllabus è relativo al Modulo 1, Concetti e approcci di base per la gestione della qualità in una organizzazione, e fornisce i fondamenti

Dettagli

BOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS

BOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS Allegato 1 Sono stati individuati cinque macro-processi e declinati nelle relative funzioni, secondo le schema di seguito riportato: 1. Programmazione e Controllo area ICT 2. Gestione delle funzioni ICT

Dettagli

COME MISURARE UN SERVICE DESK IT

COME MISURARE UN SERVICE DESK IT OSSERVATORIO IT GOVERNANCE COME MISURARE UN SERVICE DESK IT A cura di Donatella Maciocia, consultant di HSPI Introduzione Il Service Desk, ovvero il gruppo di persone che è l interfaccia con gli utenti

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

MANDATO DI AUDIT DI GRUPPO

MANDATO DI AUDIT DI GRUPPO MANDATO DI AUDIT DI GRUPPO Data: Ottobre, 2013 UniCredit Group - Public MISSION E AMBITO DI COMPETENZA L Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è parte

Dettagli

HR e nuove tecnologie l impatto delle tecnologie sull organizzazione del lavoro

HR e nuove tecnologie l impatto delle tecnologie sull organizzazione del lavoro HR e nuove tecnologie l impatto delle tecnologie sull organizzazione del lavoro venerdì 30 Marzo dalle ore 17.00 alle ore 20.00 CNR di Genova Torre di Francia, via De Marini n.6 (11 piano) LA NORMA ISO

Dettagli

Modulo 1 Concetti di base della Qualità

Modulo 1 Concetti di base della Qualità Syllabus rev. 1.03 Modulo 1 Concetti di base della Qualità Il seguente Syllabus è relativo al Modulo 1, Concetti e approcci di base per la gestione della qualità in una organizzazione, e fornisce i fondamenti

Dettagli

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013 Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013 Autore Fabio Guasconi Lo standard ISO/IEC 27001 Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS). Applicabile ad organizzazioni

Dettagli

Introduzione alla norma UNI EN CEI ISO 50001:2011

Introduzione alla norma UNI EN CEI ISO 50001:2011 Ordine degli Ingegneri della Provincia di Roma Seminario di introduzione alla norma ISO 50001 ed ai Sistemi di Gestione per l Energia Integrazione con la legislazione Roma, 16/03/2016 Introduzione alla

Dettagli

MANDATO INTERNAL AUDIT

MANDATO INTERNAL AUDIT INTERNAL AUDIT MANDATO INTERNAL AUDIT Il presente Mandato Internal Audit di Società, previo parere favorevole del Comitato Controllo e Rischi in data 30 ottobre 2012 e sentito il Collegio Sindacale e l

Dettagli

La norma UNI EN ISO 14001:2004

La norma UNI EN ISO 14001:2004 La norma COS È UNA NORMA La normazione volontaria Secondo la Direttiva Europea 98/34/CE del 22 giugno 1998: "norma" è la specifica tecnica approvata da un organismo riconosciuto a svolgere attività normativa

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

Direzione Centrale Sistemi Informativi

Direzione Centrale Sistemi Informativi Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

ISO 45001. il nuovo ponte tra sicurezza e innovazione. Comprendere il cambiamento

ISO 45001. il nuovo ponte tra sicurezza e innovazione. Comprendere il cambiamento ISO 45001 il nuovo ponte tra sicurezza e innovazione Comprendere il cambiamento Premessa L art. 30 del Testo Unico della Sicurezza dice chiaramente che i modelli di organizzazione aziendale definiti conformemente

Dettagli

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma IT Risk-Assessment Assessment: il ruolo dell Auditor nel processo. AIIA - Consigliere del Chapter di Roma Agenda Overview sul Risk-Management Il processo di Risk-Assessment Internal Auditor e Risk-Management

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004)

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dott. Marco SALVIA IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dr. Marco SALVIA 1 Perché gestire la variabile ambientale in azienda? 1. Perché rappresenta

Dettagli

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Oggi più che mai, le aziende italiane sentono la necessità di raccogliere,

Dettagli

ISO 14001 ISO 14001:1996 ISO 14001:2004. Guida al confronto SISTEMI DI GESTIONE AMBIENTALE

ISO 14001 ISO 14001:1996 ISO 14001:2004. Guida al confronto SISTEMI DI GESTIONE AMBIENTALE ISO 14001 ISO 14001:1996 ISO 14001:2004 Guida al confronto SISTEMI DI GESTIONE AMBIENTALE La ISO 14001 è una norma internazionale, che stabilisce i requisiti per definire, attuare e gestire un Sistema

Dettagli

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Riferimenti al progetto WP 05 Sicurezza dell ambiente della piattaforma, della informazioni e de dati - Rif. documenti:

Dettagli

Sistemi Qualità e normativa

Sistemi Qualità e normativa Università di Bergamo Facoltà di Ingegneria INGEGNERIA DEL SOFTWARE Paolo Salvaneschi B2_1 V2.1 Sistemi Qualità e normativa Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

Sistema di Gestione per la Qualità

Sistema di Gestione per la Qualità Pagina 1 di 8 Manuale Qualità Sistema di Gestione per la Qualità INDICE DELLE EDIZIONI.REVISIONI N DATA DESCRIZIONE Paragraf i variati Pagine variate 1.0 14.03.2003 Prima emissione Tutti Tutte ELABORAZIONE

Dettagli

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it Analisi e gestione del rischio ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it ISCOM e infrastrutture critiche www.iscom.gov.it Premessa Prima di iniziare qualsiasi considerazione sull'analisi

Dettagli

STT e BS7799: traguardo ed evoluzione in azienda

STT e BS7799: traguardo ed evoluzione in azienda STT e BS7799: traguardo ed evoluzione in azienda Ada Sinigalia Anita Landi XVIII Convegno Nazionale di Information Systems Auditing "25 anni di Audit: l'evoluzione di una professione" Cortona, 20 maggio

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

POLITICA PER LA QUALITÀ, L AMBIENTE, LA SALUTE E SICUREZZA SUL LAVORO E LA RESPONSABILITA SOCIALE

POLITICA PER LA QUALITÀ, L AMBIENTE, LA SALUTE E SICUREZZA SUL LAVORO E LA RESPONSABILITA SOCIALE POLITICA DEL SISTEMA DI GESTIONE INTEGRATO La Cooperativa sociale ITALCAPPA è consapevole dell importanza e della necessità di avvalersi di un Sistema di Gestione integrato per la qualità, l ambiente,

Dettagli

GUIDA SULL'APPROCCIO PER PROCESSI DEI SISTEMI DI GESTIONE PER LA QUALITÀ

GUIDA SULL'APPROCCIO PER PROCESSI DEI SISTEMI DI GESTIONE PER LA QUALITÀ GUIDA SULL'APPROCCIO PER PROCESSI DEI SISTEMI DI GESTIONE PER LA QUALITÀ 1) Introduzione Questo documento guida vuol aiutare gli utilizzatori delle norme serie ISO 9000:2000 a comprendere i concetti e

Dettagli

La certificazione CISM

La certificazione CISM La certificazione CISM Firenze, 19 maggio 2005 Daniele Chieregato Agenda Ruolo del Security Manager Certificati CISM Domini Requisiti Ruolo del Security Manager La gestione della Sicurezza Informatica

Dettagli

Nota Informativa dello Schema N. 1/13

Nota Informativa dello Schema N. 1/13 Organismo di Certificazione della Sicurezza Informatica Nota Informativa dello Schema N. 1/13 Modifiche alla LGP1 Novembre 2013 Versione 1.0 REGISTRAZIONE DELLE AGGIUNTE E VARIANTI L'elenco delle aggiunte

Dettagli

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation

Dettagli

CERTIQUALITY. Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity

CERTIQUALITY. Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity Per una migliore qualità della vita CERTIQUALITY Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity Dott. Nicola Gatta Direzione

Dettagli

Normativa UNI CEI EN 16001:2009 Energy efficiency tramite un sistema di gestione per l energia. ABB Group September 29, 2010 Slide 1

Normativa UNI CEI EN 16001:2009 Energy efficiency tramite un sistema di gestione per l energia. ABB Group September 29, 2010 Slide 1 Normativa UNI CEI EN 16001:2009 Energy efficiency tramite un sistema di gestione per l energia September 29, 2010 Slide 1 Sommario La norma UNI CEI EN 16001:2009 Definizioni Approccio al sistema di gestione

Dettagli

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro Alberto Alberto ANDREANI ANDREANI Via Mameli, 72 int. 201/C Via Mameli, 72 int. 201/C 61100 PESARO Tel. 0721.403718 61100 PESARO Tel. 0721.403718 e.mail andreani@pesaro.com e.mail andreani@pesaro.com Guida

Dettagli

Documentare, negoziare e concordare gli obiettivi di qualità e le responsabilità del Cliente e dei Fornitori nei Service Level Agreements (SLA);

Documentare, negoziare e concordare gli obiettivi di qualità e le responsabilità del Cliente e dei Fornitori nei Service Level Agreements (SLA); L economia della conoscenza presuppone che l informazione venga considerata come la risorsa strategica più importante che ogni organizzazione si trova a dover gestire. La chiave per la raccolta, l analisi,

Dettagli

OGGETTO DELLA FORNITURA...4

OGGETTO DELLA FORNITURA...4 Gara d appalto per la fornitura di licenze software e servizi per la realizzazione del progetto di Identity and Access Management in Cassa Depositi e Prestiti S.p.A. CAPITOLATO TECNICO Indice 1 GENERALITÀ...3

Dettagli

Gestione Operativa e Supporto

Gestione Operativa e Supporto Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_1 V1.0 Gestione Operativa e Supporto Il contenuto del documento è liberamente utilizzabile dagli studenti, per

Dettagli

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting Symantec / ZeroUno Executive lunch IT Security & Risk Management Riccardo Zanchi - Partner NetConsulting 25 settembre 2008 Agenda Il contesto del mercato della security I principali risultati della survey

Dettagli

La CERTIFICAZIONE DEI SISTEMI DI GESTIONE AZIENDALE

La CERTIFICAZIONE DEI SISTEMI DI GESTIONE AZIENDALE La CERTIFICAZIONE DEI SISTEMI DI GESTIONE AZIENDALE CERTIQUALITY Via. G. Giardino, 4 - MILANO 02.806917.1 SANDRO COSSU VALUTATORE SISTEMI DI GESTIONE CERTIQUALITY Oristano 27 Maggio 2008 GLI STRUMENTI

Dettagli

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI:

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI: IL PRESIDENTE VISTO il decreto legislativo 12 aprile 2006, n. 163 e successive modifiche ed integrazioni, in particolare l art. 8, comma 2, ai sensi del quale l Autorità stabilisce le norme sulla propria

Dettagli

IL SISTEMA ASSICURAZIONE QUALITA DI ATENEO

IL SISTEMA ASSICURAZIONE QUALITA DI ATENEO IL SISTEMA ASSICURAZIONE QUALITA DI ATENEO Dott.ssa Lucia Romagnoli Ancona, 15 luglio 2015 maggio 2007 UNIVPM ottiene la certificazione del proprio Sistema di Gestione per la Qualità (SGQ) ai sensi della

Dettagli

Enterprise Risk Management e Sistema di Gestione della Qualità

Enterprise Risk Management e Sistema di Gestione della Qualità Enterprise Risk Management e Sistema di Gestione della Qualità IL RISCHIO Il rischio è la distribuzione dei possibili scostamenti dai risultati attesi per effetto di eventi di incerta manifestazione, interni

Dettagli

Gestione dei rischi. Analisi di un modello semplificato per le PMI

Gestione dei rischi. Analisi di un modello semplificato per le PMI Gestione dei rischi Analisi di un modello semplificato per le PMI Licenza e condizioni di uso I contenuti di questa presentazione devono intedersi sottoposti ai termini della licenza Creative Commons 2.5,

Dettagli

GUIDA ALL'APPROCCIO PER PROCESSI NEI SISTEMI DI GESTIONE PER LA QUALITÀ

GUIDA ALL'APPROCCIO PER PROCESSI NEI SISTEMI DI GESTIONE PER LA QUALITÀ GUIDA ALL'APPROCCIO PER PROCESSI NEI SISTEMI DI GESTIONE PER LA QUALITÀ 1) Introduzione (traduzione del documento ISO/TC176/SC2/N544R) Questo documento guida vuole aiutare gli utilizzatori delle norme

Dettagli

"L'APPROCCIO PER PROCESSI": UNA DELLE PRINCIPALI INNOVAZIONI DELLA NORMA

L'APPROCCIO PER PROCESSI: UNA DELLE PRINCIPALI INNOVAZIONI DELLA NORMA Vision 2000 I SUPPORTI DELL'ISO PER L'ATTUAZIONE DELLA NUOVA ISO 9001:2000 "L'APPROCCIO PER PROCESSI": UNA DELLE PRINCIPALI INNOVAZIONI DELLA NORMA I significati di questa impostazione e un aiuto per la

Dettagli

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data: 03.12. Learning Center Engineering Management INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Autore: Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.2007 VIA

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

I dati in cassaforte 1

I dati in cassaforte 1 I dati in cassaforte 1 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

I Sistemi di Gestione dell'energia per migliorare l efficienza e ridurre i costi Gian Piero Zattoni EQO Srl

I Sistemi di Gestione dell'energia per migliorare l efficienza e ridurre i costi Gian Piero Zattoni EQO Srl Logo azienda/università I Sistemi di Gestione dell'energia per migliorare l efficienza e ridurre i costi Gian Piero Zattoni EQO Srl Ottimizzazione energetica nelle imprese e nelle istituzioni Labmeeting

Dettagli

VISION 2000 VISION 2000

VISION 2000 VISION 2000 VISION 2000 dalle QUALITA? ISO 9000 alle VISION 2000 SOMMARIO Aspetti generali, architettura e caratteristiche delle norme Evoluzione dei contenuti Ricadute sui processi di certificazione Applicazione

Dettagli

I Sistemi di Gestione per la Sicurezza

I Sistemi di Gestione per la Sicurezza I Sistemi di Gestione per la Sicurezza OHSAS 18001, Rischi Rilevanti, Antincendio, Sistemi di Gestione Integrati Luca Fiorentini TECSA Sommario Presentazione... 9 1. INTRODUZIONE 15 2. SCOPO E CAMPO DI

Dettagli

Information Systems Audit and Control Association

Information Systems Audit and Control Association Information Systems Audit and Control Association Certificazione CISA Certified Information Systems Auditor CISM Certified Information Security Manager La certificazione CISA storia C I S l ISACA propone

Dettagli

Programma di risparmio energetico

Programma di risparmio energetico Programma di risparmio energetico Ridurre gli sprechi per ottenere risparmi CO2save per UNI CEI EN ISO 50001 Premessa La norma ISO 50001 definisce gli standard internazionali per la gestione dell'energia

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

www.fire-italia.org Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona

www.fire-italia.org Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona La norma ISO 50001 Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona I problemi dell energy management Fondamentalmente l EM è richiesto per risparmiare sui costi aziendali. Costi sempre

Dettagli

Policy sulla Gestione delle Informazioni

Policy sulla Gestione delle Informazioni Policy sulla Gestione delle Informazioni Policy Globale di Novartis 1 settembre 2012 Versione IGM 001.V01.IT 1. Introduzione 1.1 Finalità Nel mondo degli affari, avere le corrette informazioni nel momento

Dettagli

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301. P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301. P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a CERTIQUALITY La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301 Dott. Nicola Gatta Direzione Marketing & Industry Management

Dettagli

È costituito dagli atteggiamenti e dalle azioni del board e del management rispetto all'importanza del controllo all'interno.

È costituito dagli atteggiamenti e dalle azioni del board e del management rispetto all'importanza del controllo all'interno. Glossario Internal Auditing Fonte: Associazione Italiana Internal Audit (AIIA) www.aiiaweb.it Adeguato controllo Un controllo è adeguato se viene pianificato e organizzato (progettato) dal management in

Dettagli

MANDATO DELLA FUNZIONE AUDIT. (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015)

MANDATO DELLA FUNZIONE AUDIT. (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015) MANDATO DELLA FUNZIONE AUDIT (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015) 1 INDICE DEI CONTENUTI 1. INTRODUZIONE E FINALITA DEL DOCUMENTO 2. MISSIONE 3. AMBITO 4. PROFESSIONALITA

Dettagli

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 OPERATIONAL OFFICES GENOVA MILANO ROMA TORINO NETWORK INTEGRATION and SOLUTIONS srl www.nispro.it Per

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

I criteri di valutazione/certificazione. Common Criteria e ITSEC

I criteri di valutazione/certificazione. Common Criteria e ITSEC Valutazione formale ai fini della certificazione della sicurezza di sistemi o prodotti IT I criteri di valutazione/certificazione Common Criteria e ITSEC Alla fine degli anni ottanta in Europa si cominciò

Dettagli