La Business Continuity e le disposizioni in materia
|
|
- Giovanna Rostagno
- 8 anni fa
- Visualizzazioni
Transcript
1 La Business Continuity e le disposizioni in materia Avv. Antonio Serra Cpp,Cepas IUSS Istituto Universitario di Studi Superiori, Pavia Enterprise risk management Con il termine enterprise risk management (ERM) si intende la gestione globale ed intergrata dei rischi d impresa. In particolare: Si assume che il management agisce al fine di soddisfare gli interessi economici dei portatori di capitale di rischio (shareholder approach); L ERM riguarda necessariamente tutti i rischi aziendali e tutte le modalità che possono essere attivate per gestirli; Il risk management è un attività di supporto al processo direzionale d impresa e non di mero controllo dei rischi aziendali Lo sviluppo dell ERM è da ricondurre alla crescente consapevolezza che ai rischi tradizionalmente oggetto di risk management (rischi finanziari e rischi assicurabili) si aggiungono nuovi elementi di vulnerabilità aziendale di origine esterna che non possono essere trascurati: Le politiche commerciali aggressive Il terrorismo internazionale La vulnerabilità dei dati e dei sistemi informatici 2 1
2 Con riferimento specifico alla gestione dei rischi, l ERM contribuisce a creare valore aziendale, in quanto permette di: Ottimizzare il profilo di rischio dell impresa Adottare un comportamento proattivo Gestire la vulnerabilità aziendale Predisporre gli adeguati interventi di contenimento del danno Il contributo dell ERM ai sistemi di controllo è evidente: favorire l andamento della gestione aziendale e dei rischi aziendali assunti dai singoli centri di responsabilità. 3 ISO ( ISO 27002) L'ISO 17799:2005, poi renumerata ISO 27002:2005 nel Luglio 2007, stabilisce che la sicurezza dell'informazione è caratterizzata da integrità, riservatezza e disponibilità. Lo standard è organizzato in 10 aree di controllo, ogni sezione è dedicata ad una parte specifica: 1. Politiche di sicurezza (Security Policy) 2. Sicurezza organizzativa (Security Organization) 3. Controllo e classificazione dei beni (Asset Classification and Control) 4. Sicurezza del personale (Personnel Security) 5. Sicurezza fisica e ambientale ( Physical and Environmental Security) 6. Gestione delle comunicazioni e operazioni ( Communications and Operations managements) 7. Controllo di accesso ( Access Control) 8. Sviluppo e manutenzione di sistemi ( System Development and Maintenance) 9. Gestione continuità operativa ( Business Continuity Management) 10. Adeguatezza (Compliance) 4 2
3 Business Continuity Management Il business continuity management (BCM) ha come oggetto possibili interruzioni nelle attività aziendali critiche ( o mission critical activities, MCA). Le MCA sono tutte attività aziendali considerate fondamentali per il corretto funzionamento dell impresa. Il business continuity management e un importante sotto-processo all interno del più ampio processo di risk management che si pone l obiettivo di predisporre, testare e, in caso di necessità, implementare tutte le opportune misure di gestione ex post atte a ripristinare le attività aziendali critiche. 5 In un accezione più ampia, il Business Continuity Management riguarda anche: L identificazione delle minacce che possono pregiudicare la continuità delle attività aziendali critiche; La stima dei rischi che possono pregiudicare la continuità delle attività aziendali critiche; essa e tipicamente qualitativa e utilizza un evoluzione dell approccio basato sulla matrice di probabilità-impatto, denominata anche business impact analysis o BIA; L adozione di misure di gestione ex ante, volte a ridurre il rischio di interruzioni nelle attività aziendali critiche (essenzialmente misure di prevenzione, protezione o copertura). Di fatto, dunque, in questa accezione più ampia il business continuity management abbraccia tutta l attività di risk management, limitata però ai soli rischi che sono in grado minare la continuità delle attività aziendali critiche. 6 3
4 BCM e sistema bancario Il BCM sta riscuotendo un crescente successo, soprattutto in alcuni ambiti, come quello bancario. D altro canto la protezione e la salvaguardia dei sistemi informatici, che sono il primo e più importante ambito di applicazione del BCM, assumono per le banche il massimo livello di criticità. In questo contesto i due strumenti operativi alla base di un adeguato sistema di business continuity management sono rappresentati da: Pianificazione e programmazione delle attività di BCM attraverso la redazione di adeguati documenti operativi; Formazione e training del management e di tutto il personale, al fine di renderlo capace di affrontare la gestione delle interruzioni delle attività critiche. 7 La pianificazione e la programmazione di un adeguato intervento di BCM richiede di: Individuare, valutare, predisporre e testare le soluzioni operative che possono essere attivate in caso di sinistro potenzialmente in grado di pregiudicare la continuità dell attività critica; questo processo si traduce nella redazione del Recovery Solution Plan; Determinare i processi e le procedure da seguire in caso di interruzione delle attività critiche ed individuare responsabilità e ruoli dei soggetti coinvolti; questo processo si traduce nella redazione del Business Recovery Plan; Definire le linee strategiche di intervento, le responsabilità e i ruoli, nel caso in cui l interruzione dell attività critica comporti una situazione di crisi aziendale; questo processo comporta la redazione del Crisis Management Plan. La pianificazione e la programmazione degli interventi in caso di interruzione dell attività servono a poco se le persone che li devono eseguire non sono formate e allenate ad agire in condizioni critiche. 8 4
5 High-level principles for business continuity (Basel Committee on Banking Supervision) Financial authorities and financial industry participants have a shared interest in promoting the resilience of the financial system to major operational disruptions. This interest is the result of multiple factors, including: The pivotal role that financial intermediation plays in facilitating and promoting national and global economic activity by providing the means for making and receiving payments, for borrowing and lending, for effecting transactions, for insuring risks, and for raising capital and promoting investment; The concentration of clearing and settlement processes in most financial systems; Deepening interdependencies among financial industry participants within and across jurisdictions. The velocity with which money and securities turn over on a daily basis underpins the considerable interdependencies among financial industry participants and investors. The possibility of terrorist or other malicious attacks targeted, directly or indirectly, at the infrastructure of the financial system; The importance of public confidence in the ability of financial systems to function smoothly. 9 High-level principles for business continuity 1. Board and senior management responsibility Financial industry participants and financial authorities should have effective and comprehensive approaches to business continuity management. An organisation s board of directors and senior management are collectively responsible for the organisation s business continuity. 2. Major operational disruptions Financial industry participants and financial authorities should incorporate the risk of a major operational disruption into their approaches to business continuity management. Financial authorities business continuity management also should address how they will respond to a major operational disruption that affects the operation of the financial industry participants or financial system for which they are responsible. 10 5
6 3. Recovery objectives Financial industry participants should develop recovery objectives that reflect the risk they represent to the operation of the financial system. As appropriate, such recovery objectives may be established in consultation with, or by, the relevant financial authorities. 4. Communications Financial industry participants and financial authorities should include in their business continuity plans procedures for communicating within their organisations and with relevant external parties in the event of a major operational disruption. 5. Cross-border communications Financial industry participants and financial authorities communication procedures should address communications with financial authorities in other jurisdictions in the event of major operational disruptions with cross-border implications Testing Financial industry participants and financial authorities should test their business continuity plans, evaluate their effectiveness, and update their business continuity management, as appropriate. 7. Business continuity management reviews by financial authorities Financial authorities should incorporate business continuity management reviews into their frameworks for the ongoing assessment of the financial industry participants for which they are responsible. 12 6
7 European Central Bank Business Continuity Oversight Expectations for Systemically Important Payment Systems (SIPS) The purpose of this paper is to provide guidance to systemically important payment systems (SIPS) operators in order to achieve sufficiently robust and consistent levels of resilience across those systems, building on efforts to improve their recovery and resumption capabilities. The framework consists of four key elements: a well-defined business continuity strategy; appropriate business continuity plans the establishment of well-defined procedures for effective crisis and communication management; regular reviewing and testing 13 Market participants and public authorities in many countries have recently been reconsidering their business continuity policies and the adequacy of their business continuity planning in the light of the vulnerabilities revealed by terrorist acts natural disasters and major power outages. From this perspective, the Eurosystem presents to the financial industry a set of business continuity expectations: More comprehensive coverage of the key elements of business continuity management, such as the formulation of a business continuity strategy and objectives, the development of effective business continuity plans, the formulation of efficient crisis and communication management procedures, and the implementation of effective testing, updating and reviewing processes; Updating of the oversight expectations to be taken into account by system operators with regard to the content of the key elements, These expectations are applicable to all SIPS operating in the euro area. 14 7
8 Key elements Systems should have a well-defined business continuity strategy and monitoring mechanism endorsed by the board of directors. Business continuity plans should envisage a variety of plausible scenarios, including major natural disasters, outages and terrorist acts affecting a wide area. System operators should establish crisis management teams and wellstructured formal procedures to manage a crisis and internal/external crisis communications. The effectiveness of the business continuity plans needs to be ensured through regular testing of each aspect of the plan. 15 Identification of Critical Functions Critical functions should be identified and the processes within these functions categorised and prioritised according to their criticality. Any assumptions behind this categorisation should be fully documented and regularly reviewed. Critical functions or services outsourced to third-party providers should be an integral part of the system s business continuity planning. 16 8
9 Resumption and Recovery Objectives Business continuity objectives for SIPS should be clearly defined and aim at the recovery and resumption of critical functions within the same settlement day in order to ensure that all pending transactions are completed on the scheduled settlement date in all envisaged scenarios. It is recommended that SIPS should aim to recover and resume critical functions or services (including critical services outsourced to third-party providers) no later than two hours after the occurrence of a disruption. In addition, business continuity plans implemented by SIPS should contain arrangements ensuring a minimum service level of critical functions to ensure that in extreme scenarios pending time-critical payments are settled on time and within the same settlement day. 17 Scenarios The SIPS operator and, where relevant, the participants and infrastructure service providers should plan arrangements to ensure continuity of the service in a number of plausible scenarios, including major disasters, outages or disruptions covering a wide area. These scenarios should be documented regularly in the form of a Business Impact Analysis (BIA). Both internal and external threats should be identified and considered, and the impact of each failure identified and assessed. The participation of stakeholders is essential to successful scenario planning, which can benefit from their wide experience. Simplicity and practicality should be the main considerations when designing contingency systems and documenting business procedures. 18 9
10 Secondary Site(s), Staff and Participants SIPS business continuity arrangements should include, as a minimum, a secondary processing site. It is very important for systems to ensure an appropriate geographic separation between the primary and the secondary site and their anonymity. Secondary sites should be fully operational, have adequate capacity and be able to process volumes exceeding those of a normal operating day. Staff Steps should be taken to ensure that not all operational and other (management, IT support, etc.) staff identified as critical during the BIA are in the same place at the same time. This applies to computer operators as well as system control staff and management. System operators should minimise the risk that all staff members are simultaneously present at the same site. 19 Participants The technical failure of critical participants in the system may induce systemic risk. For this reason, it is recommended that participants which are identified as critical by SIPS operators should also have a secondary processing site. At a minimum, relevant participants should be able to close one business day and reopen the following day on the secondary site. The effectiveness of critical participants business continuity arrangements when operating from a secondary site should be ensured through the periodic testing (in rotation) of all staff members identified as critical
11 Crisis Management As good practice, systems should consider developing a crisis management plan enabling them to effectively manage a crisis situation when it arises. A multi-skilled crisis management team should coordinate action and communication with and between participants, overseers and other interested parties identified during the stakeholder analysis. It is good practice for crisis management not to be dependent on specific staff; knowledge/ expertise should instead be transmitted to other staff members, who should be trained to takeover in the event of the unavailability of key personnel. Contact lists of critical personnel of critical participants, authorities and thirdparty providers of critical infrastructure and functions/ services, including contacts at their secondary location, should be up-to-date, reviewed regularly and readily available at both the primary and the secondary location. 21 Crisis Communication Management System operators should define procedures for both internal and external communication, which should be detailed in a crisis communication plan. Good practice would be to envisage alternative means of sharing information in the immediate aftermath of a crisis. Systems should also ensure, in advance, that such facilities are sufficiently robust to deal with the high volumes expected in a crisis situation. System operators should, as good practice, establish the necessary lines of communication with any other public authorities whose involvement would be required in a crisis situation
12 Testing, Updating and BCP Communication Regular testing is an important component of business continuity management, as it contributes to ensuring that plans are effective, achievable and costefficient. However, business continuity plans should in general be tested at least once a year. Systems should also, as good practice, consider periodically performing full days of live operations from the secondary site. The aim of the tests is to validate the effectiveness of the business continuity strategy, verify that the arrangements are viable in practice, identify issues not apparent during the planning stage, ensure continuing readiness, and to familiarise staff with the operation of the plan, including their roles and responsibilities. 23 Another important element to ensure the effectiveness of the business continuity plan is for the relevant management to update it periodically at appropriate intervals (at least every 12 months), or following a major change to infrastructure or business procedures affecting critical functions of the system. BCP Communication An important issue for SIPS and their critical participants is how best to communicate information relevant to their business continuity plans to other participants, without increasing the risk of attack. The dissemination of such information should be authorised internally by a system s board of directors
13 Disposizioni di Vigilanza della Banca d Italia La normativa di Vigilanza sulla continuità operativa, riguardante le banche autorizzate in Italia, prevede la possibilità di fissare requisiti particolari, più rigorosi di quelli a carattere generale, a carico dei maggiori operatori per minimizzare il rischio di blocco del sistema finanziario italiano in caso di gravi incidenti. A tali fini, con il presente provvedimento vengono individuati i processi ad alta criticità da proteggere ("processi a rilevanza sistemica"), sono definite le misure aggiuntive per la loro continuità operativa ("requisiti particolari") e si stabiliscono i parametri di riferimento per l'individuazione degli intermediari soggetti a tali requisiti particolari. 25 Processi a rilevanza sistematica Si tratta di un complesso strutturato di attività finalizzate all'erogazione dei seguenti servizi: servizi connessi con i sistemi di regolamento lordo in moneta di banca centrale e con i sistemi di gestione accentrata, compensazione, garanzia e liquidazione degli strumenti finanziari. servizi connessi con l accesso ai mercati rilevanti per regolare la liquidità del sistema finanziario. servizi di pagamento al dettaglio a larga diffusione tra il pubblico
14 Requisiti particolari Responsabilità Per i gruppi bancari, la capogruppo promuove e coordina l attuazione degli interventi di adeguamento dei piani di continuità operativa; Nomina un responsabile unico di tali attività, con competenze estese all'intero gruppo. Per le succursali italiane di banche estere, il piano di continuità e assicurato dalle succursali stesse. Scenari di rischio Gli scenari di rischio rilevanti per la continuità operativa dei processi a rilevanza sistemica sono documentati e costantemente aggiornati; essi includono ipotesi di distruzioni fisiche, di infrastrutture essenziali dell intermediario e di terzi nonché situazioni di crisi gravi. 27 Siti di recovery I siti di recovery dei processi a rilevanza sistemica sono situati a congrua distanza dai siti primari in modo da assicurare un elevato grado di indipendenza tra i due insediamenti. Inoltre, essi utilizzano servizi distinti da quelli impiegati in produzione. Laddove ciò non avvenga è necessaria una valutazione rigorosa, supportata da pareri di parti terze qualificate e compiutamente documentata, che il rischio di indisponibilità contemporanea dei siti primari e secondari è trascurabile. Tempi di ripristino Il tempo di ripristino dei processi a rilevanza sistemica in caso di incidente è contenuto entro le 4 ore (cioè RTO -Recovery Time Objective- minore o uguale a 4 ore). Con riferimento ai sistemi informativi, sono considerate adeguate le soluzioni che permettano di eliminare o ridurre al minimo la perdita di informazioni (cioè RPO Recovery Point Objective- pari o prossimo a zero)
15 Risorse Sono individuate e documentate le risorse umane, tecnologiche e logistiche necessarie per l operatività dei processi a rilevanza sistemica. Occorre garantire la presenza nei siti di recovery, all occorrenza, del personale necessario per l operatività dei processi a rilevanza sistemica. Va evitata la concentrazione, nello stesso luogo e allo stesso tempo, del personale chiave. Verifiche Sono effettuate, con frequenza almeno annuale, verifiche accurate dei presidi di continuità operativa dei processi a rilevanza sistemica
LA BUSINESS CONTINUITY E LE DISPOSIZIONI IN MATERIA
LA BUSINESS CONTINUITY E LE DISPOSIZIONI IN MATERIA AVV. ANTONIO SERRA CPP,Cepas, Responsabile Area Sicurezza di IUSS-Pavia Socio A.I.PRO.S. Scopo della relazione è quello di dare una panoramica sulla
DettagliOperational Risk Management & Business Continuity Fonti Informative e punti di contatto
Operational Risk Management & Business Continuity Fonti Informative e punti di contatto Roma 16 giugno 2005 Dr. Paolo Cruciani BNL Responsabile Rischi Operativi BNL Direzione Risk Management Agenda 1.
DettagliBUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.
BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione
DettagliPubblicazioni COBIT 5
Pubblicazioni COBIT 5 Marco Salvato CISA, CISM, CGEIT, CRISC, COBIT 5 Foundation, COBIT 5 Trainer 1 SPONSOR DELL EVENTO SPONSOR DI ISACA VENICE CHAPTER CON IL PATROCINIO DI 2 La famiglia COBIT 5 3 Aprile
DettagliAudit & Sicurezza Informatica. Linee di servizio
Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano
DettagliPIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice
PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice OUR PHILOSOPHY PIRELLI ENTERPRISE RISK MANAGEMENT POLICY ERM MISSION manage risks in terms of prevention and mitigation proactively seize the
DettagliNOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013
NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013 E stato introdotto nell ordinamento di vigilanza italiano il concetto di risk appetite framework (RAF). E contenuto nella
DettagliVision strategica della BCM
Vision strategica della BCM BCM Ticino Day 2015 Lugano 18 settembre 2015 Susanna Buson Business Continuity Manager and Advisor CBCP, MBCI Agenda Business Continuity vs Business Resilience Business Continuity
DettagliICT Security Governance. 16 Marzo 2010. Bruno Sicchieri ICT Security Technical Governance
ICT Security 16 Marzo 2010 Bruno Sicchieri ICT Security Technical Principali aree di business 16 Marzo 2010 ICT Security in FIAT Group - I Principi Ispiratori Politica per la Protezione delle Informazioni
DettagliCosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?
Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi
Dettagli> Visionest Business Protection
> Visionest Business Protection Presentazione breve della consulting practice Aprile 2005 David Bramini - Partner david.bramini@visionest.com > Visionest Business Protection practice Il valore strategico
DettagliGestione integrata dei rischi e data protection: casestudy
Gestione integrata dei rischi e data protection: casestudy Bologna, 11 maggio 2017 Ing. Paolo Levizzani (Acantho) 1 AGENDA Acantho: chi siamo e cosa facciamo ENISA: Framework AgID: Misure minime PA ISO:
DettagliTanta fatica solo per un bollino ne vale davvero la pena?
Tanta fatica solo per un bollino ne vale davvero la pena? Relatori: Paolo SFERLAZZA Alberto PERRONE Relatori Paolo Sferlazza Security Advisor CISA,LA27001,LA22301,OPST, COBIT 5, ITIL,LA9001,ISFS, ITSM,ISMA
DettagliIl modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno 2013 1
Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali Roma, 6 giugno 2013 1 Fondata nel 1972 142 soci 50 associati Fatturato complessivo dei
DettagliCERTIQUALITY. La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301. P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a
P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a CERTIQUALITY La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301 Dott. Nicola Gatta Direzione Marketing & Industry Management
DettagliBanche e Sicurezza 2015
Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso
DettagliAmbiente e Sicurezza
SEMINARI ISTITUZIONALI AICQ SICEV 2016 DA SISTEMA A SISTEMA Il percorso delle competenze Ambiente e Sicurezza i nuovi standard ISO a confronto tra ambizioni ed ambiguità Diego Cerra 0 Plan novità introdotte
DettagliBANCA D ITALIA AIEA 2007. Relatore: Tullio Prà Servizio Vigilanza sugli Enti Creditizi Banca d Italia
XXI Convegno Nazionale Information Systems Auditing Accademia Navale di Livorno, 24-25 Maggio 2007 La Continuità operativa nel sistema bancario italiano Relatore: Tullio Prà Servizio Vigilanza sugli Enti
DettagliAssociazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane
Associazione Italiana Corporate & Investment Banking 02.36531506 www.aicib.it aicib@unicatt.it Presentazione Ricerca Il risk management nelle imprese italiane AICIB Associazione Italiana Corporate & Investment
DettagliLa struttura della ISO 26000. Antonio Astone 26 giugno 2007
La struttura della ISO 26000 Antonio Astone 26 giugno 2007 Description of operational principles (1/2) Operational principles guide how organizations act. They include: Accountability an organization should
DettagliEstendere Lean e Operational Excellence a tutta la Supply Chain
Estendere Lean e Operational Excellence a tutta la Supply Chain Prof. Alberto Portioli Staudacher www.lean-excellence.it Dipartimento Ing. Gestionale Politecnico di Milano alberto.portioli@polimi.it Lean
DettagliCORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES
1 CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT Il corso è finalizzato a illustrare in dettaglio le competenze richieste al Business Continuity Manager per guidare un progetto BCM e/o gestire
DettagliDirezione Centrale Sistemi Informativi
Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer
DettagliModello dei controlli di secondo e terzo livello
Modello dei controlli di secondo e terzo livello Vers def 24/4/2012_CLEN INDICE PREMESSA... 2 STRUTTURA DEL DOCUMENTO... 3 DEFINIZIONE DEI LIVELLI DI CONTROLLO... 3 RUOLI E RESPONSABILITA DELLE FUNZIONI
DettagliInfrastruttura di produzione INFN-GRID
Infrastruttura di produzione INFN-GRID Introduzione Infrastruttura condivisa Multi-VO Modello Organizzativo Conclusioni 1 Introduzione Dopo circa tre anni dall inizio dei progetti GRID, lo stato del middleware
DettagliLa Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni
Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi
DettagliIL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A.
IL BS7799 Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it Sistemi Informativi S.p.A. ALCUNI CONCETTI FONDAMENTALI Sistemi Informativi S.p.A. 2 ATTIVITA DELLA SECURITY STUDIO, SVILUPPO ED
DettagliIntroduzione al risk management
ALBERTO FLOREANI Introduzione al risk management Un approccio integrato alla gestione dei rischi aziendali Fotocomposizione e redazione: Studio Norma, Parma ISBN 978-88-17-05810-0 Copyright 2005 RCS Libri
DettagliIS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it
IS Governance Francesco Clabot Consulenza di processo francesco.clabot@netcom-srl.it 1 Fondamenti di ISO 20000 per la Gestione dei Servizi Informatici - La Norma - 2 Introduzione Che cosa è una norma?
DettagliCERTIQUALITY. Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity
Per una migliore qualità della vita CERTIQUALITY Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity Dott. Nicola Gatta Direzione
DettagliLa funzione di compliance nelle compagnie di assicurazione: il regolamento ISVAP n. 20
La funzione di compliance nelle compagnie di assicurazione: il regolamento ISVAP n. 20 Milano, 3 ottobre 2008 AIDA Sezione Lombardia La compliance nelle assicurazioni: l adeguamento alla nuova normativa
DettagliENTERPRISE RISK MANAGEMENT IL PUNTO DI VISTA DI SAS
ENTERPRISE RISK MANAGEMENT IL PUNTO DI VISTA DI SAS MILANO, 16 GENNAIO 2014 Expected Revenue from Business Line XXX Expected Revenue from Business Line XXX Result at 1% Target Expected Result ENTERPRISE
DettagliHSE Manager. L Integrazione delle analisi di rischio tipiche del ruolo con i processi di risk management aziendali
Data 21 settembre 2016 HSE Manager L Integrazione delle analisi di rischio tipiche del ruolo con i processi di risk management aziendali Agenda: La necessità di confronto ed integrazione dell analisi del
DettagliIl Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention
Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Raoul Savastano Responsabile Security Services Kpmg Information
DettagliMANDATO INTERNAL AUDIT
INTERNAL AUDIT MANDATO INTERNAL AUDIT Il presente Mandato Internal Audit di Società, previo parere favorevole del Comitato Controllo e Rischi in data 30 ottobre 2012 e sentito il Collegio Sindacale e l
Dettagli1- Corso di IT Strategy
Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso
DettagliComunità di pratica Nedcommunity Risk management, piano strategico e organi di governo: business case
Making the traveller s day better Comunità di pratica Nedcommunity Risk management, piano strategico e organi di governo: business case Milano, 2 Luglio 204 Group Enterprise Risk Management Contenuto del
DettagliLa qualità vista dal monitor
La qualità vista dal monitor F. Paolo Alesi - V Corso di aggiornamento sui farmaci - Qualità e competenza Roma, 4 ottobre 2012 Monitoraggio La supervisione dell'andamento di uno studio clinico per garantire
DettagliPolitica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
Dettagli07150 - METODOL.E DETERMINAZ. QUANTITATIVE D'AZIENDA
Testi del Syllabus Docente AZZALI STEFANO Matricola: 004466 Anno offerta: 2014/2015 Insegnamento: 07150 - METODOL.E DETERMINAZ. QUANTITATIVE D'AZIENDA Corso di studio: 3004 - ECONOMIA E MANAGEMENT Anno
DettagliASSICURA CONVEGNO SOLVENCY II L esperienza di una media impresa
ASSICURA CONVEGNO SOLVENCY II L esperienza di una media impresa Laura Blasiol Servizio Risk Management Milano, 30 giugno 2010 1 Agenda Solvency II: A challenge and an opportunity 2 Milestones 22/04/2009:
DettagliOrganizzazione Informatica in Alstom Sergio Assandri Punta Ala, 27/09/2012
Organizzazione Informatica in Alstom Sergio Assandri Punta Ala, 27/09/2012 POWER Indice Motivazioni di questa organizzazione Alstom - Organizzazione IS&T Governance Organizzazione ITSSC ITSSC Modalità
DettagliCORSO MOC10231: Designing a Microsoft SharePoint 2010 Infrastructure. CEGEKA Education corsi di formazione professionale
CORSO MOC10231: Designing a Microsoft SharePoint 2010 Infrastructure CEGEKA Education corsi di formazione professionale Designing a Microsoft SharePoint 2010 Infrastructure This 5 day ILT course teaches
DettagliLa sicurezza in banca: un assicurazione sul business aziendale
Convegno Sicurezza 2003 Roma, ABI - Palazzo Altieri 28 maggio La sicurezza in banca: un assicurazione sul business aziendale Elio Molteni, CISSP-BS7799 Bussiness Technologist, Security Computer Associates
DettagliCatalogo Corsi. Aggiornato il 16/09/2013
Catalogo Corsi Aggiornato il 16/09/2013 KINETIKON SRL Via Virle, n.1 10138 TORINO info@kinetikon.com http://www.kinetikon.com TEL: +39 011 4337062 FAX: +39 011 4349225 Sommario ITIL Awareness/Overview...
DettagliWe take care of your buildings
We take care of your buildings Che cos è il Building Management Il Building Management è una disciplina di derivazione anglosassone, che individua un edificio come un entità che necessita di un insieme
DettagliSeminari Eucip, Esercizio e Supporto di Sistemi Informativi
Seminari Eucip, Esercizio di Sistemi Informativi Service Delivery and Support Dipartimento di Informtica e Sistemistica Università di Roma La Sapienza ITIL.1 Relazioni con il.2 Pianificazione.3 Gestione
DettagliCorso di Amministrazione di Sistema Parte I ITIL 1
Corso di Amministrazione di Sistema Parte I ITIL 1 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici ITSM
DettagliCompany Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB
Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico
DettagliQualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009
Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle
DettagliStefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma
Il Risk Management Integrato in eni Stefano Leofreddi Senior Vice President Risk Management Integrato 1 Ottobre 2014, Roma Indice - Sviluppo del Modello RMI - Governance e Policy - Processo e Strumenti
DettagliLa Business Continuity in SIA
Scopo del documento: Il presente documento descrive come SIA sviluppa, implementa e mantiene il proprio Sistema di Gestione della Continuità Operativa, in applicazione di quanto descritto nelle Linee Guida
DettagliCompliance in Banks 2011
Compliance 2010 La sfida di integrazione dei controlli interni Compliance in Banks 2011 Stato dell arte e prospettive di evoluzione Il ruolo della Compliance nella definizione strategica delle relazioni
DettagliAuditorium dell'assessorato Regionale Territorio e Ambiente
Auditorium dell'assessorato Regionale Territorio e Ambiente Università degli Studi di Palermo Prof. Gianfranco Rizzo Energy Manager dell Ateneo di Palermo Plan Do Check Act (PDCA) process. This cyclic
DettagliN 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti.
ERRATA CORRIGE N 1 alla versione bilingue (italiano-inglese) DEL 31 luglio 2009 NORMA UNI EN ISO 9001 (novembre 2008) TITOLO Sistemi di gestione per la qualità - Requisiti Punto della norma Pagina Oggetto
DettagliLABORATORIO CHIMICO CAMERA DI COMMERCIO TORINO
LABORATORIO CHIMICO CAMERA DI COMMERCIO TORINO Azienda Speciale della Camera di commercio di Torino clelia.lombardi@lab-to.camcom.it Criteri microbiologici nei processi produttivi della ristorazione: verifica
DettagliLa Business Continuity in SIA
Scopo del documento: Il presente documento descrive come SIA sviluppa, implementa e mantiene il proprio Sistema di Gestione della Continuità Operativa, in applicazione di quanto descritto nelle Linee Guida
DettagliL. 262 and Sarbanes-Oxley Act
L. 262 and Sarbanes-Oxley Act Sarbanes Oxley Act Law 262 Basel 2 IFRS\ IAS Law 231 From a system of REAL GUARANTEE To a system of PERSONNEL GUARANTEE L. 262 and Sarbanes-Oxley Act Sarbanes-Oxley Act and
DettagliUniversità di Macerata Facoltà di Economia
Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia 01 Angelo Micocci: fonti e definizioni 1 Obiettivo della lezione Internal Control
DettagliCONVEGNO ABI BASILEA 3. Recovery and Resolution Plan: l esperienza UniCredito in fieri. Andrea Cremonino. UniCredit Banking Supervisory Relations
CONVEGNO ABI BASILEA 3 Recovery and Resolution Plan: l esperienza UniCredito in fieri Andrea Cremonino UniCredit Banking Supervisory Relations Roma, 21 giugno 2011 RRPs SOTTOLINEANO COME IL CAPITALE NON
DettagliCompliance in Banks 2010
Compliance 2010 Compliance in Banks 2010 Dott. Giuseppe Aquaro Responsabile Group Audit Unicredit S.p.A. Il coordinamento complessivo del Sistema dei Controlli Interni in Banca Roma, 12 Novembre 2010 Premessa:
DettagliPer una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301
Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata
DettagliPrivacy e Sicurezza delle Informazioni
Privacy e Sicurezza delle Informazioni Mauro Bert GdL UNINFO Serie ISO/IEC 27000 Genova, 18/2/2011 Ente di normazione federato all UNI (Ente Nazionale Italiano di Unificazione) Promuove e partecipa allo
DettagliCorso Base ITIL V3 2008
Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione
DettagliIBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM
Raffaella D Alessandro IBM GTS Security and Compliance Consultant CISA, CRISC, LA ISO 27001, LA BS 25999, ISMS Senior Manager, ITIL v3 Roma, 16 maggio 2012 IBM SmartCloud Le regole per la Sicurezza nel
DettagliIl data quality nei progetti IRB e nel processo creditizio. Vincenzo M. Re
Il data quality nei progetti IRB e nel processo creditizio Vincenzo M. Re Il documento riflette le opinioni personali del relatore che non possono in alcun modo essere ritenute espressione della posizione
DettagliIS Governance in action: l esperienza di eni
IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo
DettagliIT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma
IT Risk-Assessment Assessment: il ruolo dell Auditor nel processo. AIIA - Consigliere del Chapter di Roma Agenda Overview sul Risk-Management Il processo di Risk-Assessment Internal Auditor e Risk-Management
DettagliISO 9001:2015. Ing. Massimo Tuccoli. Genova, 27 Febbraio 2015
ISO 9001:2015. Cosa cambia? Innovazioni e modifiche Ing. Massimo Tuccoli Genova, 27 Febbraio 2015 1 Il percorso di aggiornamento Le principali novità 2 1987 1994 2000 2008 2015 Dalla prima edizione all
DettagliFrancesco Scribano GTS Business Continuity and Resiliency services Leader
Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il
DettagliGL Solutions. da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato
ORBIT Overview GL Solutions da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato Associata al Consorzio ABILab Certificazioni BS25999 IBM Business
DettagliPolitica del Sistema di Gestione Salute, Sicurezza e Ambiente (Politica HSE)
Procedura Politica del Sistema di Gestione Salute, Sicurezza e Ambiente (Politica HSE) TITOLO PROCEDURA TITOLO PRPOCEDURA TITOLO PROCEDURA MSG DI RIFERIMENTO: MSG HSE 1 Questo pro hse documento 009 eniservizi
DettagliUniversità di Macerata Facoltà di Economia
Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia Obiettivo della lezione ERM - Enterprise Risk Manangement Per eventuali comunicazioni:
DettagliCertificazione ISO 20000:2005 e Integrazione con ISO 9001:2000 e ISO 27001:2005. Certification Europe Italia
Certificazione ISO 20000:2005 e Integrazione con ISO 9001:2000 e ISO 27001:2005 Certification Europe Italia 1 IT Service Management & ITIL Ä La IT Infrastructure Library (ITIL) definisce le best practice
DettagliMarco Salvato, KPMG. AIEA Verona 25.11.2005
Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance
DettagliMANDATO DI AUDIT DI GRUPPO
MANDATO DI AUDIT DI GRUPPO Data: Ottobre, 2013 UniCredit Group - Public MISSION E AMBITO DI COMPETENZA L Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è parte
DettagliF ondazione Diritti Genetici. Biotecnologie tra scienza e società
F ondazione Diritti Genetici Biotecnologie tra scienza e società Fondazione Diritti Genetici La Fondazione Diritti Genetici è un organismo di ricerca e comunicazione sulle biotecnologie. Nata nel 2007
DettagliMinistero dell economia e delle finanze Dipartimento per le politiche fiscali Ufficio coordinamento tecnologie informatiche Mariano Lupo
Continuità operativa e Disaster recovery Ministero dell economia e delle finanze Dipartimento per le politiche fiscali Ufficio coordinamento tecnologie informatiche Mariano Lupo Alcuni concetti Gestione
DettagliGestire il rischio di processo: una possibile leva di rilancio del modello di business
Gestire il rischio di processo: una possibile leva di rilancio del modello di business Gianluca Meloni, Davide Brembati In collaborazione con 1 1 Le premesse del Progetto di ricerca Nella presente congiuntura
DettagliNovembre 2007. Raccomandazioni per il Business Continuity Management (BCM)
Novembre 2007 Raccomandazioni per il Business Continuity Management (BCM) Raccomandazioni per il Business Continuity Management (BCM) Indice 1. Premessa e obiettivi...2 2. Relazione con il gruppo di lavoro
DettagliInformazione Regolamentata n. 1615-51-2015
Informazione Regolamentata n. 1615-51-2015 Data/Ora Ricezione 29 Settembre 2015 18:31:54 MTA Societa' : FINECOBANK Identificativo Informazione Regolamentata : 63637 Nome utilizzatore : FINECOBANKN05 -
DettagliLA NUOVA ISO 9001:2015
Aspettative e confronto con la versione 2008 Vincenzo Paolo Maria Rialdi Lead Auditor IRCA Amministratore Delegato e Direttore Tecnico Vevy Europe S.p.A. 2/9 BREVE STORIA DELLA NORMA ISO 9000 standard
DettagliLa Sua banca dovrá registrare il mandato di addebito nei propri sistemi prima di poter iniziare o attivare qualsiasi transazione
To: Agenti che partecipano al BSP Italia Date: 28 Ottobre 2015 Explore Our Products Subject: Addebito diretto SEPA B2B Informazione importante sulla procedura Gentili Agenti, Con riferimento alla procedura
DettagliLa continuità operativa in azienda: concetti base e l esempio di Vimercate Paolo Colombo Responsabile Sicurezza Sistemi Informativi Azienda
La continuità operativa in azienda: concetti base e l esempio di Vimercate Paolo Colombo Responsabile Sicurezza Sistemi Informativi Azienda Ospedaliera di Desio e Vimercate Cosa è la continuità operativa
DettagliConvegno ASSIOM FOREX - MILLIMAN GOVERNANCE E FUNZIONE ATTUARIALE IL RUOLO DEGLI ATTUARI
Convegno ASSIOM FOREX - MILLIMAN Milano, 24 maggio 2012 GOVERNANCE E IL RUOLO DEGLI ATTUARI CLAUDIO TOMASSINI SISTEMA DI GOVERNANCE FUNZIONE GESTIONE DEI RISCHI, ART. 44 (SISTEMA GESTIONE DEI RISCHI EFFICACE)
DettagliIl Project Management nell Implementazione dell'it Service Operations
Con il patrocinio di: Sponsorizzato da: Il Framework ITIL e gli Standard di PMI : : possibili sinergie Milano, Venerdì, 11 Luglio 2008 Il Project Management nell Implementazione dell'it Service Operations
DettagliClaudio Pedrotti, Alessandra Carazzina Milano, 28 maggio 2008
Gestione dell emergenza nel processo di integrazione SIA-SSB Claudio Pedrotti, Alessandra Carazzina Milano, 28 maggio 2008 sia ssb 2008 Agenda Il Gruppo SIA-SSB - Aree di Business La struttura di Risk
DettagliContinuità operativa e disaster recovery nella pubblica amministrazione
Continuità operativa e disaster recovery nella pubblica amministrazione DEFINIZIONI Linee Guida per il DR delle PA, DigitPA 2011 Continuità Operativa (CO) Continuità Operativa: l insieme delle attività
DettagliApprofondimento. Controllo Interno
Consegnato OO.SS. 20 maggio 2013 Approfondimento Controllo Interno Maggio 2013 Assetto Organizzativo Controllo Interno CONTROLLO INTERNO ASSICURAZIONE QUALITA DI AUDIT E SISTEMI ETICA DEL GOVERNO AZIENDALE
DettagliSicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013
Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento
DettagliPer offrire soluzioni di Risk Management
REAL LOGISTICA ESTATE per consulting è la società di consulenza del gruppo per che opera nell ambito del Risk Management. I servizi offerti, che vanno dall Analisi del rischio al Disaster Recovery Plan,
DettagliCorso di Amministrazione di Sistema Parte I ITIL A
Corso di Amministrazione di Sistema Parte I ITIL A Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT
Dettagli5.1.1 Politica per la sicurezza delle informazioni
Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.
DettagliIII PILASTRO INFORMATIVA AL PUBBLICO AL 31/12/2014
III PILASTRO INFORMATIVA AL PUBBLICO AL 31/12/2014 1 Premessa Le disposizioni contenute nella Circolare della Banca d Italia n.216 del 5 agosto 1996 7 aggiornamento del 9 luglio 2007, Capitolo V - Vigilanza
DettagliAgenda. IT Governance e SOA. Strumenti di supporto alla governance. Vittoria Caranna vcaranna@imolinfo.it Marco Cimatti mcimatti@imolinfo.
SOA Governance Vittoria Caranna vcaranna@imolinfo.it Marco Cimatti mcimatti@imolinfo.it Agenda IT Governance e SOA Strumenti di supporto alla governance 2 Importanza della Governance Service Oriented Architecture
DettagliLa condensazione della nuvola
La condensazione della nuvola BS ISO/IEC 27001: 2005 e cloud computing Come si trattano i gas? Rendendoli liquidi Comprimendoli e inserendoli in contenitori CONDENSANDOLI allora possono essere trattati,
DettagliMANUALE DELLA QUALITÀ Pag. 1 di 6
MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.
DettagliSISTEMA DEI CONTROLLI INTERNI
( BY INTERNAL AUDITING FACTORIT SPA ) SISTEMA DEI CONTROLLI INTERNI L azienda Factorit ha da qualche anno costituito una funzione di presidio del monitoraggio dei rischi aziendali strettamente connessi
DettagliUNICA nasce dal desiderio di vedere la sicurezza come valore nella vita di ognuno e come condizione necessaria per una realtà lavorativa sana e di
UNICA nasce dal desiderio di vedere la sicurezza come valore nella vita di ognuno e come condizione necessaria per una realtà lavorativa sana e di successo. Non solo come risposta ad un adempimento di
DettagliImplementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231
RISK MANAGEMENT & BUSINESS CONTINUITY Il Risk Management a supporto dell O.d.V. Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231 PER L ORGANISMO DI VIGILANZA
Dettagli