Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO e ISO 22301

Transcript

1 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO e ISO 22301

2 CHI SIAMO Certiquality è una società la cui attività è orientata allo sviluppo di servizi di ispezione, certificazione e formazione che contribuiscano ad accrescere e migliorare la posizione competitiva delle Organizzazioni Clienti e a migliorare le relazioni tra queste e le altre parti interessate, compresi i rapporti con la Pubblica Amministrazione e le Autorità di controllo. Sin dalla sua fondazione Certiquality ha inserito nel proprio logo la dicitura per una migliore qualità della vita e questa, da sempre, è la visione a cui tendiamo. Fondata nel 1989 da Federchimica ed Assolombarda, Certiquality conta oggi su uno staff di 130 professionisti e oltre 430 auditors. CERTIQUALITY ha la propria sede nel cuore di Milano ed è presente con uffici e rappresentanze in tutto il territorio nazionale. Membro della federazione CISQ e di CONFORMA, aderisce al Network Internazionale IQ NET, che garantisce il riconoscimento delle certificazioni in 35 paesi nel mondo.

3 I NOSTRI STAKEHOLDERS FEDERCHIMICA ASSOLOMBARDA AIUDAPDS ANITA ASSICC ASSOCARTA FEDERAZIONE GOMMA PLASTICA CONFINDUSTRIA CERAMICA ASSOVETRO CONFARTIGIANATO FAI CNA FITA SIMTI UNIONCHIMICA

4 Risk Management LA CERTIFICAZIONE: STRUMENTO DI RISK MANAGEMENT Ogni giorno ci troviamo a dover gestire i rischi in qualsiasi attività La tematica interessa chiunque, qualsiasi impresa, a prescindere dalle dimensioni e dal settore di appartenenza Risk Management E l insieme delle attività, metodologie e risorse coordinate per guidare e tenere sotto controllo un'organizzazione con riferimento ai rischi.

5 Organizzazione più complessa > l esigenza di assicurare che i rischi siano valutati correttamente e gestiti ORGANIZZAZIONE INTERNA propri FORNITORI ma anche PARTNER LA CERTIFICAZIONE: STRUMENTO DI RISK MANAGEMENT Standard ISO quale modello organizzativo e metodologia di Risk Management: obiettivo assicurare la continuità del business aziendale

6 Standard di riferimento: LA CERTIFICAZIONE: STRUMENTO DI RISK MANAGEMENT ISO 27001:2013 «Sistema di Gestione della Sicurezza delle Informazioni» ISO 22301:2012 «Sistema di Gestione per la Business Continuity» Schemi trasversali, ossia applicabili a qualsiasi realtà aziendale ISO attinente le informazioni, asset primario in ciascuna organizzazione ISO rivolto a garantire la continuità del business aziendale, anche al verificarsi di eventi dannosi.

7 ISO : Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni Certificazione Informatica Gestire in modo sicuro le informazioni/dati aziendali garantendo la sicurezza dei propri processi e dei servizi erogati Garantirne l affidabilità in termini di riduzione degli eventi di possibili disservizi, rispetto di adeguati livelli di servizio, riduzione dei rischi di interruzione del servizio (Business Continuity)

8 ISO : Sicurezza delle Informazioni Modello PDCA Modello per il miglioramento continuo dei processi ed utilizzo ottimale delle risorse in un ottica a lungo raggio Integrazione con gli schemi tradizionali, quali gli standard ISO 9001 (Qualità) ed ISO (Ambiente). Integrazione con schemi specifici e/o di settore, quali ad es. ISO (Qualità ICT) ed ISO (Business Continuity)

9 ISO : Sicurezza delle Informazioni Nuova ISO 27001:2013 Principali cambiamenti: La struttura è stata rivista e ottimizzata secondo il nuovo formato standard ISO Cambiamento e modifica di alcuni termini e definizioni I requisiti per la gestione del rischio sono stati allineati alla ISO I requisiti sulla Business Continuity sono stati allineati alla ISO I controlli in Annex A sono stati modificati in risposta ai cambiamenti terminologici, rimossi i duplicati e realizzati raggruppamenti con maggiore logica Maggiore enfasi sulla pianificazione degli obiettivi, monitoraggio delle performance e metriche.

10 ISO : Sicurezza delle Informazioni Garantisce all Organizzazione l adozione di un sistema affidabile e sicuro per la gestione dei sistemi informativi (informatici e documentali) aziendali al fine di: Monitorare e ridurre i costi di gestione IT Assicurare e dimostrare adeguati livelli di servizio Monitorare e ridurre i rischi di malfunzionamento Ridurre i rischi di interruzione del servizio (Business Continuity)

11 ISO : Sicurezza delle Informazioni Gestione della Compliance Aziendale ISO MODELLO ORGANIZZATIVO e di GOVERNANCE D.Lgs. 231/01 Disciplina della responsabilità amministrativa delle persone giuridiche D.Lgs. 196/03 "Codice in materia di protezione dei dati personali" Legge 262/05 "Disposizioni per la Tutela del risparmio e la disciplina dei mercati finanziari

12 ISO : Sicurezza delle Informazioni Garantisce ai propri clienti l adozione di un sistema affidabile, efficiente e sicuro nella gestione, confidenzialità, disponibilità e tutela delle informazioni e dei dati nei processi inerenti : La progettazione del prodotto o del servizio L erogazione e fornitura del servizio I Servizi di HelpDesk Assistenza I Servizi erogati on line / in remoto

13 ISO : Business Continuity La Business Continuity permette di assicurare la continuità del servizio, la continuità del business anche in caso di emergenze o eventi avversi. Direttrici dello standard: Modello PDCA Analisi del Rischio Definizione dei processi critici Predisposizione di BC Plan Svolgimento di controlli e test

14 ISO : Business Continuity Coinvolgimento del Top Management in tutte le fasi della BCM Identificazione del livello minimo accettabile di operatività in caso di incidente Business Impact Analysis (BIA): l Organizzazione identifica i processi critici a supporto dei prodotti e servizi, le interdipendenze tra i processi e le risorse necessarie a tali processi per operare al livello minimo accettabile. Risk Assessment: lo standard richiama la norma ISO per la gestione del rischio. L obiettivo è di stabilire, implementare e mantenere un processo documentato di valutazione del rischio che sistematicamente identifichi, analizzi e valuti il rischio di incidenti dirompenti per l Organizzazione

15 ISO : Business Continuity Strategie per la Business Continuity : definiti i requisiti attraverso la BIA ed il Risk Assessment, l Organizzazione procede a sviluppare le strategie atte ad identificare le contromisure in grado di proteggere e ripristinare le attività critiche sulla base: della tolleranza al rischio stabilita dall Organizzazione degli obiettivi di tempo di rispristino definiti Procedure per la Business Continuity : l Organizzazione deve documentare le procedure atte ad assicurare la continuità delle attività e la gestione degli incidenti dannosi. Le procedure comprendono i Piani di Continuità Operativa.

16 Business Continuity delle infrastrutture ICT PATRIMIONIO DEI DATI Asset primario per ogni Organizzazione Codice dell Amministrazione Digitale (CAD) D.Lgs. 82/2005: con il D.Lgs. 235/2010 è stato introdotto nel CAD l articolo 50 bis (Continuità operativa) Il tema della continuità operativa non è più, quindi, una componente opzionale, per quanto importante, delle infrastrutture ICT della pubblica amministrazione, ma diventa un elemento essenziale nella definizione e gestione delle stesse infrastrutture

17 Business Continuity delle infrastrutture ICT Le pubbliche amministrazioni definiscono (art.50 bis) : a) il Piano di Continuità Operativa: deve tenere conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale b) il Piano di Disaster Recovery: deve stabilire le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione

18 La certificazione strumento di Business Continuity: gli standard ISO e ISO Grazie per l attenzione Dott. Nicola Gatta Product Manager Information Management Direzione Certificazione Sistemi di Gestione QHSE n.gatta@certiquality.it 335,