CERTIQUALITY. Gli standard ISO per il RiskManagement ed ISO per la certificazione dei Sistemi di Gestione della Business Continuity

Transcript

1 Per una migliore qualità della vita CERTIQUALITY Gli standard ISO per il RiskManagement ed ISO per la certificazione dei Sistemi di Gestione della Business Continuity Dott. Nicola Gatta Direzione Marketing & Industry Management

2 I NUOVI STANDARD ISO e la GESTIONE DEL RISCHIO Risk Management E l insieme delle attività, metodologie e risorse coordinate per guidare e tenere sotto controllo un'organizzazione con riferimento ai rischi.

3 Maggiore è la complessità dell Organizzazione.. maggiore sarà l esigenza di assicurare che i rischi siano correttamente valutati e gestiti ORGANIZZAZIONE INTERNA propri FORNITORI ma anche PARTNER LA CERTIFICAZIONE: STRUMENTO DI RISK MANAGEMENT Standard ISO quale modello organizzativo e metodologia di Risk Management: obiettivo assicurare la continuità del business aziendale

4 ISO 31000: IL FRAMEWORK PER LA GESTIONE DEL RISCHIO

5 ISO 31000: IL PROCESSO PER LA GESTIONE DEL RISCHIO

6 RISK MANAGEMENT: LA NUOVA STRUTTURA DEGLI STANDARD ISO

7 RISK MANAGEMENT: LA NUOVA STRUTTURA DEGLI STANDARD ISO Alcune considerazioni sui cambiamenti: - si parla di informazioni documentate e non più di procedure documentate e registrazioni - vi è un forte richiamo alla comprensione del contesto nel quale opera l organizzazione ed alle aspettative delle parti interessate, che dello stesso sistema possono essere le promotrici - le azioni preventive sono state eliminate, perché incluse nelle azioni per fronteggiare rischi e opportunità - la valutazione e il trattamento del rischio sono presenti sia nella pianificazione del SGSI sia nella sua operatività - Gestione del Rischio secondo le linee guida ISO 31000

8 Standard di riferimento: LA CERTIFICAZIONE: STRUMENTO DI RISK MANAGEMENT ISO 27001:2014 «Sistema di Gestione della Sicurezza delle Informazioni» ISO 22301:2012 «Sistema di Gestione per la Business Continuity» Schemi trasversali, ossia applicabili a qualsiasi realtà aziendale ISO tutela le informazioni, asset primario in ciascuna organizzazione ISO è rivolto a garantire la continuità del business aziendale, anche al verificarsi di eventi dannosi.

9 ISO Standard per la Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni Certificazione Informatica Gestire in modo sicuro i propri processi e i servizi erogati, equivale a garantire l affidabilità dell impresa in termini di - riduzione degli eventi di possibili disservizi - rispetto di adeguati livelli di servizio - - riduzione dei rischi di interruzione del servizio (Business Continuity)

10 ISO Standard per la gestione della BC La Business Continuity permette di assicurare la continuità del servizio, la continuità del business anche in caso di emergenze o eventi avversi. Direttrici dello standard: Modello PDCA Analisi del Rischio Definizione dei processi critici Predisposizione di BC Plan Svolgimento di controlli e test

11 ISO : Business Continuity Coinvolgimento del Top Management in tutte le fasi della BCM Identificazione del livello minimo accettabile di operatività in caso di incidente Business Impact Analysis (BIA): l Organizzazione identifica i processi critici a supporto dei prodotti e servizi, le interdipendenze tra i processi e le risorse necessarie a tali processi per operare al livello minimo accettabile. Risk Assessment: lo standard richiama la norma ISO per la gestione del rischio. L obiettivo è di stabilire, implementare e mantenere un processo documentato di valutazione del rischio che sistematicamente identifichi, analizzi e valuti il rischio di incidenti dirompenti per l Organizzazione.

12 ISO : Business Continuity Strategie per la Business Continuity : definiti i requisiti attraverso la BIA ed il Risk Assessment, l Organizzazione procede a sviluppare le strategie atte ad identificare le contromisure in grado di proteggere e ripristinare le attività critiche sulla base: - della tolleranza al rischio stabilita dall Organizzazione - degli obiettivi di tempo di rispristino definiti Procedure per la Business Continuity : l Organizzazione deve documentare le procedure atte ad assicurare la continuità delle attività e la gestione degli incidenti dannosi. Le procedure comprendono i Piani di Continuità Operativa.

13 RISK MANAGEMENT negli standard ISO ed ISO Valutazione del Rischio Trattamento del Rischio Obiettivi per la Sicurezza delle Informazioni/ Continuità Operativa e Piani per conseguirli Analisi dei Rischi Business Impact Analysis BC Strategy Piani di Continuità Simulazioni

14 Gli standard ISO per il Risk Management ed ISO per la certificazione dei Sistemi di Gestione della Business Continuity DHL SUPPLY CHAIN ITALY S.P.A. EDRA LSWR S.p.A.

15 Gli standard ISO per il Risk Management ed ISO per la certificazione dei Sistemi di Gestione della Business Continuity Grazie per l attenzione Dott. Nicola Gatta Direzione Marketing & Industry Management n.gatta@certiquality.it