Company Management System. Company Governance and Guidelines

Transcript

1 Company Management System Company Governance and Guidelines Redatto da: Verificato da: Approvato da: The document is: WRITTEN if contains the writer s signature, VERIFIED if also contains the verifier s signature, APPROVED if contains all the signatures Codice Documento Classificazione Dominio di Applicazione 1-CMS Company Project/Service Year Doc. number Version Pubblica SIA-SSB S.p.A.

2 1-CMS LEGENDA DI COPERTINA Stato del documento Le firme sulla copertina del presente documento fanno riferimento allo standard interno di SIA-SSB Spa per la gestione della documentazione aziendale: hanno lo scopo di permetterne il controllo di configurazione e di indicarne lo stato di lavorazione. In particolare, il documento è da intendersi REDATTO se provvisto della/e firma/e di chi lo ha redatto; VERIFICATO se provvisto della/e firma/e di verifica; APPROVATO se provvisto della firma di approvazione. Un documento sprovvisto di firme è in redazione. Si segnala che la firma di approvazione autorizza la circolazione del documento limitatamente alla lista di distribuzione Classificazione La classificazione di un documento può essere: PUBBLICA, se il documento può circolare senza restrizioni; INTERNA, se il documento può circolare solo all interno di SIA-SSB; RISERVATA, se il documento è distribuibile ad un numero limitato di destinatari; STRETTAMENTE RISERVATA, se il documento è distribuibile ad un numero limitato di destinatari e ogni copia è controllata. Dominio di applicazione Società del gruppo SIA-SSB alle quali si applica il documento: GRUPPO SIA-SSB se il documento è valido per tutte le società controllate del gruppo SIA-SSB, KEDRIOS, RA COMPUTER, TSP, SINSYS, PERAGO, GBC, INSIEME DELLE SOCIETÀ DEL GRUPPO STORIA DELLE MODIFICHE APPORTATE Storia delle modifiche v.04 Il Reference Manual della nuova società SIA-SSB, pubblicato nel mese di Novembre 2007, è stato aggiornato in tutte le sue parti, in particolare sono state aggiornate le High Level Policy di Qualità, Sicurezza e Business Continuity ed inoltre sono stati descritti in modo separato i sistemi di gestione della Sicurezza e della Business Continuity. v.05 Sono state aggiornate le Linee Guida di Sicurezza. Pagina 2 di 41

3 1-CMS SOMMARIO 1. IMPOSTAZIONE E GESTIONE Presentazione dell azienda Scopo e campo di applicazione Esclusioni Definizioni Riferimenti Normativi Missione e Responsabilità di SIA-SSB Struttura organizzativa Il sistema dei processi aziendali Processi di Business Processi di Governance Processi di Supporto Responsabilità della Direzione aziendale SIA-SSB High - Level policy aziendali Politica della Qualità Politica della Sicurezza Politica della Business Continuity Compiti del personale Il Sistema di Gestione aziendale Il Sistema di Gestione della Qualità Pianificazione Obiettivi Gestione Rappresentante della Direzione per la Qualità Attenzione al Cliente Il Sistema di Governo della Sicurezza (SGSI) Il Sistema di Governo della Business Continuity (BCMS) Riesame della Direzione Riesame della Qualità Riesame della Sicurezza Riesame della Business Continuity IL SISTEMA DEI PROCESSI Processi di Business Sales process Contract management process Feasibility process Pagina 3 di 41

4 1-CMS Riesame dei Requisiti Service & Product Development process Processi relativi al Cliente Pianificazione della Progettazione e Sviluppo Elementi in ingresso alla Progettazione e Sviluppo Elementi in uscita alla Progettazione e Sviluppo Riesame della Progettazione e Sviluppo Verifica della Progettazione e Sviluppo Validazione della Progettazione e Sviluppo Tenuta sotto controllo delle modifiche della Progettazione e Sviluppo Service Management Processes Tenuta sotto controllo delle attività di produzione ed erogazione del servizio Validazione del processo di erogazione Identificazione e Rintracciabilità Proprietà del Cliente Conservazione dei prodotti Gestione dei dispositivi di monitoraggio e misurazione Processi di Governance Qualità Sicurezza Business Continuity Modalità per il controllo dei progetti Processi di Supporto Legale Gestione del personale Approvvigionamento Processo di approvvigionamento Processo di vendor management Logistica Infrastrutture Ambiente di Lavoro Comunicazione ed immagine Amministrazione Relazione tra processi aziendali e linee guida di sicurezza MONITORAGGIO E CONTROLLO Il Sistema di Gestione della Qualità Soddisfazione del Cliente Verifiche Ispettive Interne di Qualità Pagina 4 di 41

5 1-CMS Monitoraggio e Misurazione processi, prodotti e servizi Monitoraggio e Misurazione Analisi dei Dati Tenuta sotto controllo delle non conformità Il Sistema di Governo della Sicurezza Monitoraggio del Sistema SGSI Verifiche Ispettive di Sicurezza Il Sistema di Governo della Business Continuity Monitoraggio del Sistema BCMS Verifiche Ispettive di Business Continuity Miglioramento continuo IL SISTEMA DOCUMENTALE (CMS) E LA GESTIONE DELLA DOCUMENTAZIONE Requisiti Generali Requisiti relativi alla documentazione Generalità Company Governance and Guidelines Controllo dei documenti Controllo delle registrazioni Pagina 5 di 41

6 1. IMPOSTAZIONE E GESTIONE 1.1 Presentazione dell azienda La nuova società SIA-SSB, operativa da maggio 2007, è una dei leader in Italia e tra i primi in Europa a presidiare in modo completo e integrato le aree di: Processing delle Carte di credito e di debito con servizi di full-processing, servizi di sistema e accessori. Lo scenario delle carte di pagamento Secondo alcuni esperti ed analisti del settore, il mercato europeo delle carte di pagamento presenta interessanti potenzialità di crescita, soprattutto grazie all allargamento dell area euro e al conseguente ampliamento del mercato all Europa dell Est. Tali possibilità di sviluppo dei volumi dei pagamenti rappresenta quindi un enorme opportunità per l industria bancaria. Il miglioramento del livello di efficienza, la riduzione dei costi e l incremento dei volumi sono i requisiti richiesti agli operatori per poter competere nel nuovo scenario che verrà a crearsi entro il 2010 attraverso SEPA, l area unica dei pagamenti in euro. Alla base dell attuale trend di aggregazioni e consolidamenti nel settore bancario c è proprio la necessità di rispondere velocemente alla sfida della SEPA: infatti, potranno sopravvivere solo quegli operatori in grado di raggiungere una dimensione europea, di creare economie di scala e al tempo stesso di innovarsi utilizzando i più avanzati strumenti tecnologici. Il Gruppo SIA-SSB, grazie alle competenze professionali e all esperienza maturata negli anni, è in grado di offrire - tramite la controllata SiNSYS - servizi di processing, issuing e acquiring per la gestione delle carte di pagamento nazionali, internazionali e private, garantendo prezzi competitivi ed elevati livelli di servizio. L attuale copertura geografica comprende, oltre l Italia, altri 8 paesi: Belgio, Germania, Olanda, Polonia, Repubblica Ceca, Slovacchia, Ucraina e Ungheria. Sistemi di Pagamento con servizi di clearing, corporate banking interbancario, soluzioni per banche centrali e banche commerciali, servizi di sistema. Lo scenario dei sistemi di pagamento La recente approvazione da parte del Parlamento Europeo della PSD (Payment Services Directive) avvia il processo che modificherà completamente il sistema europeo dei pagamenti attraverso la creazione della SEPA, l area unica dei pagamenti in euro. Nell area dei sistemi di pagamento, il Gruppo SIA-SSB ha dato ad un offerta integrata in grado di soddisfare le esigenze di banche commerciali e centrali, imprese e Pubbliche Amministrazioni. Il Gruppo si propone come partner del sistema bancario nell affrontare le sfide della SEPA, con le caratteristiche di efficienza e di completezza di servizio proprie di un market leader a livello europeo. Il Gruppo SIA-SSB è inoltre in grado di rispondere con un offerta completa di soluzioni alle esigenze di miglioramento continuo dell efficacia e efficienza dei processi di back-office delle banche, facendo leva Pagina 6 di 41

7 sull esperienza maturata come protagonista dei sistemi centrali di clearing e settlement. Le banche centrali possono beneficiare del know-how del Gruppo nelle soluzioni di gestione dei pagamenti all ingrosso per supportare il proprio processo di sviluppo e miglioramento dei sistemi di pagamento. Le imprese hanno la possibilità di ottimizzare i processi di tesoreria e di gestione della supply-chain indotte dalla SEPA e dall evoluzione del Corporate Banking, grazie ad un offerta integrata di servizi e soluzioni in grado di soddisfare sia le esigenze delle aziende nazionali sia dei grandi gruppi internazionali. Il Gruppo SIA-SSB supporta la Pubblica Amministrazione nell automazione dei sistemi di pagamento a livello centrale e locale, con benefici in termini di efficienza e di qualità del servizio nei confronti degli utenti finali. Capital Markets con servizi di gestione delle piattaforme di mercato, di back-office titoli ed informativa, soluzioni in area sorveglianza per intermediari finanziari, sistemi di accesso ai mercati fixed incombe. Lo scenario dei capital markets L evoluzione del processo di integrazione dei mercati finanziari europei sta vivendo, soprattutto negli ultimi anni, accelerazioni positive con un impegno considerevole delle istituzioni UE e degli Stati membri chiamati a creare un quadro normativo unico con criteri di equità, efficienza e trasparenza a tutela degli investitori e della concorrenza. In quest ottica è stata sviluppata anche la normativa MiFID - Markets in Financial Instruments Directive, che mira a disciplinare servizi e mercati finanziari e che porterà al disegno della nuova Piazza Finanziaria Europea. Il processo, avviato nel 2000 nell ambito del FSAP - Financial Service Action Plan, ha già cominciato a generare, con le direttive Prospectus e Market Abuse, un cambiamento epocale nell operatività dei mercati finanziari. La BU Capital Markets di SIA-SSB continua a supportare l evoluzione del sistema economico europeo attraverso il confronto attivo con gli interlocutori chiave dei mercati finanziari e delle istituzioni europee ed italiane, proponendo una nuova offerta integrata di soluzioni tecnologiche, capaci di supportare gli operatori del mercato nella fase di adeguamento alle evoluzioni normative. Tale offerta, in sinergia con le società del Gruppo, anticipa i grandi cambiamenti come la caduta dell obbligo di concentrazione degli scambi azionari, la certezza di best execution e i più stringenti obblighi di trasparenza pre e post-trade, che richiedono all operatore finanziario di integrare, consolidare e confrontare in modo efficace e tempestivo, a costi sostenibili, i molteplici flussi informativi relativi alle operazioni di investimento con una crescente necessità di eccellere nel processo di esecuzione. Servizi di Rete per la connettività e per il trasporto a valore aggiunto. Lo scenario dei servizi di rete L'operatività della comunità finanziaria si basa sulla trasmissione continua di un elevata quantità di dati tra banche commerciali e centrali, processor di carte di debito e di credito, mercati borsistici, content management system, fornitori di servizi informativi on-line e traders. Il Gruppo SIA-SSB è il principale provider di servizi di connettività e di trasporto a valore aggiunto per il sistema bancario e finanziario italiano e tra i primi in assoluto in Europa. Il Gruppo propone un unica infrastruttura tecnologica di rete integrata che soddisfa le esigenze più complesse, superando di fatto la tradizionale divisione dell'offerta di connettività (tipica dei gestori di Pagina 7 di 41

8 telecomunicazioni) da quella dei servizi di trasporto a valore aggiunto. Grazie all'esclusiva architettura di rete peer-to-peer, è possibile trasferire dati in totale sicurezza, assicurando la compliance con la normativa sulla riservatezza dei dati. I numeri sono la testimonianza più evidente dell alta affidabilità e delle elevate performance dell infrastruttura di rete: nel 2006, attraverso gli oltre 600 nodi di rete e collegamenti, sono stati trasferiti complessivamente oltre 8 terabytes di dati (ovvero 8 mila miliardi di byte) per complessivi 6,7 milioni di operazioni di trasferimento, 476 milioni di messaggi inviati e 290 milioni di transazioni effettuate. La rete è stata inoltre progettata per poter supportare i volumi richiesti dalla SEPA e del nuovo Corporate Banking Interbancario. Dopo oltre 20 anni dalla nascita della Rete Nazionale Interbancaria (RNI), l infrastruttura collega attualmente oltre mille istituzioni finanziarie, è integrata con il Sistema Pubblico di Connettività (SPC) e con SWIFT, la rete internazionale dei mercati finanziari e dei pagamenti. L internazionalizzazione è il fattore chiave che guida lo sviluppo del Gruppo: ciò consente di rispondere efficacemente, tempestivamente e con grande conoscenza e professionalità quale primario provider tecnologico di piattaforme di clearing dei pagamenti, alla profonda trasformazione generata dalle direttive europee, SEPA - Single Euro Payments Area - e MiFID Markets in Financial Instruments Directive. Il Gruppo SIA-SSB è costituito dalla capogruppo SIA-SSB e dalle controllate Kedrios, Perago, RA Computer, SiNSYS, TSP e GBC. 1.2 Scopo e campo di applicazione L ambito del Company Governance and Guidelines è: Ideazione, progettazione, realizzazione, commercializzazione ed erogazione di servizi di card processing su circuiti nazionali ed internazionali, di sistemi e servizi elettronici di pagamento, di prodotti e servizi informatici a supporto dell operatività sui mercati bancari, creditizi e finanziari anche di carattere istituzionale, di servizi di rete e di piattaforme tecnologiche per il funzionamento dei mercati telematici di attività finanziarie. Tale ambito rappresenta il perimetro di certificazione degli attuali Sistemi Qualità, Sicurezza e Business Continuity. 1.3 Esclusioni Non sono previste esclusioni nel campo di applicazione relativo alle attività di SIA-SSB Spa. Pagina 8 di 41

9 1.4 Definizioni Termine Cliente BCMS CMS Efficacia Efficienza Fornitore Processo Prodotto Progetto Struttura Organizzativa Descrizione Organizzazione o persona che riceve un prodotto Business Continuity Management System Company Management System Grado di realizzazione delle attività pianificate e di conseguimento dei risultati pianificati Rapporto tra i risultati ottenuti e le risorse utilizzate per ottenerli Organizzazione o persona che fornisce un prodotto Insieme di attività correlate o interagenti che trasformano elementi in entrata in elementi in uscita Risultato di un processo Processo unico che consiste in un insieme di attività coordinate e tenute sotto controllo, con date di inizio e di fine, intrapreso per conseguire un obiettivo conforme a specifici requisiti, ivi inclusi i limiti di tempo, di costi e di risorse Insieme di responsabilità, autorità, e interrelazioni tra persone La sezione riporta alcune definizioni tratte dalla norma ISO 9000:2005. Per gli altri termini, si rimanda ai documenti specifici di pertinenza. 1.5 Riferimenti Normativi D.Lgs 231/2001 D.Lgs 81/08 Legge 196/2003 UNI EN ISO 9000:2005 UNI EN ISO 9001:2008 UNI EN ISO 9004:2000 ISO 27001:2005 BS :2006 BS :2007 Responsabilità amministrativa degli enti Misure per la tutela della salute e sicurezza dei lavoratori Legge per la Tutela della Privacy Sistemi di Gestione per la Qualità Fondamenti e Vocabolario Sistemi di Gestione per la Qualità Requisiti Sistemi di gestione per la Qualità Linee guida per il miglioramento delle prestazioni Information Technology Security Techniques Business Continuity Management Part 1: Code of practice Business Continuity Management Part 2: Specification Pagina 9 di 41

10 1.6 Missione e Responsabilità di SIA-SSB La domanda di qualità, sicurezza e continuità per i processi produttivi, per i prodotti/servizi, per le procedure decisionali e amministrative e per il supporto alla clientela, costituisce un importante elemento di sviluppo e competizione nella società odierna. SIA-SSB ha implementato un Company Management System (CMS) con l obiettivo di aumentare la soddisfazione della propria clientela, di migliorare i processi interni ed i livelli di qualità e di sicurezza dei servizi, adottando standard internazionali di riferimento riconosciuti a livello mondiale. La conformità a questi standard è attestata dal conseguimento delle certificazioni ISO 9001:2000, ISO27001:2005 e BS :2007 per l'ideazione, la progettazione, la realizzazione, la commercializzazione e l'erogazione di: Servizi di card processing su circuiti nazionali ed internazionali Sistemi e servizi elettronici di pagamento Prodotti e servizi informatici a supporto dell'operatività sui mercati bancari, creditizi e finanziari anche di carattere istituzionale Servizi di rete e di piattaforme tecnologiche per il funzionamento dei mercati telematici di attività finanziarie. Nell'ambito di una logica di governance di Gruppo, accanto alla propria certificazione aziendale, SIA-SSB si è anche dotata di una certificazione ISO9001:2000 Corporate per poter dare maggior visibilità delle competenze complessive che tutte le aziende del gruppo possono offrire al mercato. 1.7 Struttura organizzativa SIA-SSB è organizzata in Direzioni che hanno la responsabilità del business dell azienda, della progettazione e dell erogazione di prodotti e servizi ed in Direzioni di Staff per tutte le attività in supporto al business dell azienda. 1.8 Il sistema dei processi aziendali Il CMS è l insieme dei processi, metodologie, procedure e responsabilità che forniscono il riferimento organizzativo alle unità operative di SIA-SSB, dalla ideazione alla fornitura dei servizi e dei prodotti. Tutti i processi del CMS vengono: predisposti da Organizzazione e Qualità congiuntamente con le altre funzioni aziendali coinvolte verificati con le funzioni aziendali di pertinenza approvati dalla Direzione Generale promulgati da Organizzazione e Qualità Il sistema CMS viene costantemente aggiornato e migliorato in relazione alle esigenze dei Clienti ed alle esigenze organizzative della società. Pagina 10 di 41

11 Per raggiungere questo scopo l azienda ha: identificato i processi principali ovvero di Business identificato i processi di Governance identificato i processi di Supporto stabilito le sequenze ed interazioni fra questi processi definito i criteri di misurazione per verificare l efficacia dei processi assicurato che vi siano le risorse necessarie a garantire il corretto funzionamento dei processi predisposto momenti di controllo per verificare se i processi raggiungono i risultati previsti e se siano passibili di miglioramenti. Qualora SIA-SSB scelga di affidare all'esterno processi che abbiano effetti sulla conformità del prodotto ai requisiti, assicura il controllo di tali processi. Nell'ambito del Company Management System sono definite le modalità per tenere sotto controllo tali processi affidati all'esterno. In particolare tutte le forniture esterne, anche se fornite da società del gruppo, sono regolamentate da contratti che definiscono le modalità di erogazione dello stesso ed i livelli di servizio attesi. L azienda ha definito i suoi processi, distinguendoli in processi di business, di governance e di supporto Processi di Business La mappa generale dei processi di business di SIA-SSB indica come il Company Management System si integri ed interagisca con i processi principali che costituiscono il business di SIA-SSB e precisamente: sales process contract management process feasibility process service & product development process service management processes (incident management, problem management, change management, release management, configuration management, SLA management, availability & continuity management..) Processi di Governance I processi di governance, essenziali alla definizione degli obiettivi aziendali ed al controllo del raggiungimento degli stessi, sono di seguito individuati: Qualità Sicurezza Business Continuity Modalità per il controllo dei progetti Pagina 11 di 41

12 1.8.3 Processi di Supporto I processi di supporto, essenziali al funzionamento dei processi di business, sono di seguito individuati: legale (contract management, ) gestione del personale (gestione della formazione e dell addestramento, gestione della ricerca, selezione ed assunzione del personale, ) acquisti (gestione degli approvvigionamenti, vendor management, ) logistica (gestione degli accessi, ) comunicazione ed immagine amministrazione (contabilità clienti, contabilità fornitori, bilancio, ). 1.9 Responsabilità della Direzione aziendale SIA-SSB La Direzione aziendale di SIA-SSB si attiva: nel comunicare ai propri collaboratori che il rispetto dei requisiti del Cliente e di quelli cogenti ad essi correlati va sempre posto in primo piano nel definire la Politica della Qualità, la Politica della Sicurezza e la Politica della Business Continuity e nel comunicarle a tutto il personale in modo che vengano conseguiti gli obiettivi enunciati e siano messe a disposizione le risorse per questo necessarie nella nomina del Rappresentante della Direzione per la Qualità nel conferire ai vari responsabili delle funzioni aziendali la necessaria autorità per lo svolgimento dei compiti loro assegnati nel garantire la diffusione capillare a tutto il personale degli aggiornamenti e dell evoluzione dei processi. nel garantire, a fronte di cambiamenti significativi del CMS, sessioni di formazione specifiche per le strutture interessate da tali cambiamenti High - Level policy aziendali SIA-SSB considera la Qualità, la Sicurezza delle Informazioni e la Business Continuity un fattore irrinunciabile per la protezione del proprio patrimonio informativo ed un fattore di valenza strategica facilmente trasformabile in vantaggio competitivo nell ambito del posizionamento sul mercato nazionale e internazionale e nell ambito della erogazione dei servizi offerti. L eccellenza nel delivery dei propri servizi e la soddisfazione del cliente si raggiungono garantendo efficienza ed affidabilità dei servizi erogati attraverso il sistema dei processi aziendali ed anche attraverso l adozione di soluzioni di Sicurezza e di Continuità Operativa sviluppate in coerenza con le best practice del settore di riferimento. SIA-SSB ha deciso di sviluppare la Politica per la Qualità, la Politica per la Sicurezza delle Informazioni e la Politica per la Business Continuity in quanto considera la loro attuazione fondamentale nelle relazioni con i clienti, i fornitori, le società del gruppo e con gli azionisti. Attraverso la garanzia di un adeguato sistema dei processi ed un adeguato livello di sicurezza delle informazioni e nel rispetto delle leggi, delle normative e dei requisiti dettati dagli Organismi di Vigilanza, esse permettono di rispondere in maniera appropriata alle esigenze Pagina 12 di 41

13 dei propri clienti e ai requisiti del mercato e di raggiungere gli obiettivi aziendali Politica della Qualità La Direzione Aziendale ha definito e diffuso a tutto il personale la Politica per la Qualità di seguito riportata: La garanzia del soddisfacimento dei requisiti del cliente, in termini e di organizzazioni esterne a cui rivolge i propri servizi, e di strutture interne che contribuiscono alla realizzazione efficiente ed efficace degli stessi. Il miglioramento continuo dei processi aziendali attraverso sistemi di misurazioni e monitoraggio sia interni che esterni, di confronto con il mercato di riferimento. Il riconoscimento e la risposta da parte dell organizzazione aziendale alle regole del sistema impostato secondo una visione per processi fondati su requisiti di qualità, in coerenza con gli standard internazionali ISO 9001:2000. La formazione comportamentale e tecnica che viene organizzata in modo da garantire una professionalità che sia in grado di assicurare la soddisfazione del cliente. Il riesame periodico della politica stessa, in concomitanza con la revisione del piano strategico aziendale, per garantire la costante soddisfazione delle esigenze dei clienti e del mercato Politica della Sicurezza I vertici aziendali si impegnano a perseguire gli obiettivi della presente Politica con le risorse e i mezzi adeguati. SIA-SSB ha realizzato un Sistema di Governo per la Sicurezza delle Informazioni definito secondo regole e criteri previsti dalle best practice e dagli standard internazionali di riferimento (ISO27001), al fine di indirizzare le tematiche di sicurezza, controllarne l applicazione, individuare le aree di rischio e trattare i rischi in maniera adeguata. In particolare, il Sistema di Governo per la Sicurezza per le Informazioni di SIA-SSB è sviluppato al fine di garantire il soddisfacimento dei requisiti di sicurezza di base, ossia: Riservatezza, ovvero la proprietà dell informazione di essere nota solo a chi ne ha i privilegi Integrità, ovvero la proprietà dell informazione di essere modificata solo ed esclusivamente da chi ne possiede i privilegi Disponibilità, ovvero la proprietà dell informazione di essere accessibile e utilizzabile quando richiesto dai processi e dagli utenti che ne godono i privilegi Conformità, ovvero la proprietà dell informazione di essere trattata in modo conforme alle leggi e alle normative di settore in tema di sicurezza Politica della Business Continuity SIA-SSB pone grande attenzione alla Business Continuity quale elemento cruciale per l erogazione dei propri servizi nel pieno rispetto di quanto definito nei contratti con i clienti, nelle Linee Guida di Banca d Italia e, più in generale, in coerenza con le metodologie e gli standard internazionali di riferimento. In particolare, l azienda ha predisposto un Sistema di Governo della Business Continuity che comprende le regole di comportamento, i processi, la catena di comando e le infrastrutture tecnologiche, logistiche e di Disaster Pagina 13 di 41

14 Recovery finalizzate alla gestione delle emergenze, in caso di eventi che possono compromettere la continuità del business aziendale. La Politica per la Business Continuity definita dalla Direzione aziendale e diffusa a tutto il personale è pertanto articolata nei seguenti principi guida: Adozione di un modello di continuità operativa che venga riconosciuto come un valido riferimento a livello internazionale (SIA-SSB ha scelto come riferimento lo standard BS25999 e la metodologia del Business Continuity Institute - BCI) Articolazione degli obiettivi di Business Continuity per i vari servizi in modo coerente con i contratti commerciali con i clienti e con i requisiti dettati dagli Organismi di Vigilanza Identificazione di soluzioni tecniche ed organizzative in coerenza con le compatibilità economiche dell azienda Definizione di un piano pluriennale di Business Continuity che preveda esercitazioni e test ripetuti al fine di garantire la verifica di adeguatezza e l aggiornamento continuo delle soluzioni adottate Compiti del personale E compito di tutto il personale operante in SIA-SSB, interno ed esterno, a prescindere dal ruolo ricoperto: conoscere i contenuti delle presenti High-Level Policy aziendali e contribuire nell attuazione delle direttive e degli obiettivi in esse indicati applicare e sviluppare le Linee Guida, le Procedure e le Istruzioni Operative di propria competenza trattare correttamente le informazioni aziendali Si rammenta che ogni azione che possa mettere a repentaglio la sicurezza delle informazioni di proprietà SIA- SSB o dei suoi clienti o terze parti è soggetta ad appropriata azione disciplinare e/o legale Il Sistema di Gestione aziendale Il Sistema di Gestione della Qualità Pianificazione La Direzione aziendale definisce e pianifica gli obiettivi aziendali, concordandoli con le varie funzioni responsabili. Gli obiettivi del Sistema Qualità sono formalizzati nella rispettiva Politica, Riesame della Direzione e Piani di miglioramento. Tali obiettivi sono misurabili e promuovono il miglioramento continuo delle prestazioni Obiettivi A seconda dei pertinenti livelli dell organizzazione, dall analisi delle registrazioni raccolte e delle indicazioni provenienti da fonti esterne (Clienti, Fornitori, ecc.) nonché dai risultati delle misurazioni delle prestazioni dei processi, la Direzione aziendale definisce specifici obiettivi coerenti con le Politiche di Qualità che vengono monitorati e riesaminati a cadenze prestabilite in funzione della criticità degli stessi. Pagina 14 di 41

15 Gestione Ogni qualvolta si verifichino eventi tali da influenzare l organizzazione aziendale, quali ad esempio cambiamenti organizzativi, cessioni o acquisizioni di attività, modifica dei processi, modifica degli obiettivi, risultati delle verifiche ispettive interne, viene fatta un analisi dell impatto sul sistema e pianificate le opportune azioni di intervento mirate a conservare l efficacia e l efficienza del sistema stesso Rappresentante della Direzione per la Qualità Il Rappresentante della Direzione per la Qualità, avendo l autorità e le risorse necessarie per svolgere questo ruolo, coadiuvato dal responsabile qualità, ha l incarico di: identificare e stabilire le sequenze ed interazioni dei processi aziendali nell ambito del CMS, coerentemente con le norme di riferimento, e la loro applicazione all interno dell organizzazione assicurare che i processi necessari per il CMS siano predisposti, messi in pratica ed aggiornati stabilire i criteri ed i metodi necessari per assicurare l efficace funzionamento e controllo di questi processi tramite la misurazione, il monitoraggio e l analisi riferire alla Direzione aziendale sulle prestazioni del CMS e su ogni esigenza di miglioramento assicurare la promozione della consapevolezza dei requisiti del Cliente nell ambito di tutta l organizzazione organizzare i Riesami di Direzione secondo le cadenze stabilite predisporre ed attuare i Piani di Verifiche Ispettive Interne Attenzione al Cliente Data la grande importanza che riveste il rispetto dei requisiti del Cliente (sia espliciti che impliciti) e in modo da monitorarne la realizzazione, la Direzione aziendale ha posto particolare cura alla definizione e controllo del processo di business ed alla rilevazione della soddisfazione del Cliente, predisponendo opportuni strumenti di controllo quali l indagine di Customer Satisfaction Il Sistema di Governo della Sicurezza (SGSI) Per quanto concerne il Sistema di Governo della Sicurezza (SGSI) la Direzione aziendale: a) identifica i principali ruoli di sicurezza all interno delle singole unità aziendali, ossia costituisce una struttura organizzativa competente che si occupa della gestione e dell implementazione della sicurezza delle informazioni. Inoltre, sono definiti: il Comitato di Sicurezza, con lo scopo di deliberare sui principali temi relativi alla sicurezza delle informazioni specifici ruoli chiave in ambito sicurezza delle informazioni all interno di ogni BU/Direzione (es. Responsabile Safety) b) definisce e diffonde la politica per la sicurezza delle informazioni del sistema SGSI, che stabilisce gli obiettivi del Sistema SGSI aziendale in termini di garanzia di un adeguato livello di sicurezza delle informazioni nell ambito della progettazione, sviluppo ed erogazione dei servizi aziendali c) definisce e diffonde le linee guida di sicurezza del sistema SGSI, con particolare attenzione a: classificazione e gestione della documentazione Pagina 15 di 41

16 controllo accessi logici test di intrusione separazione ambienti elaborativi formazione e awareness di sicurezza modifiche applicative e tecnologiche uso di strumenti informatici aziendali uso della posta elettronica e internet accessi fisico doveri del personale selezione del personale incidenti di sicurezza telelavoro salvataggio delle informazioni gestione delle registrazioni contratti con fornitori Le Linee Guida di Sicurezza devono essere conosciute e applicate da tutto il personale interno di SIA-SSB nello svolgimento delle proprie mansioni lavorative; inoltre tutti i dipendenti hanno la responsabilità della diffusione dei principi descritti all interno delle Linee Guida di Sicurezza ai propri collaboratori esterni nonchè della verifica dell applicazione degli stessi. d) definisce un approccio sistematico alla valutazione dei rischi di sicurezza, ossia individua un metodo di valutazione dei rischi che sia adatto al sistema SGSI, alle informazioni di business individuate ed ai requisiti legali e regolamentari in ambito sicurezza e) definisce un approccio sistematico al trattamento dei rischi di sicurezza, sulla base delle conclusioni della valutazione dei rischi sopradescritta. Relativamente ai criteri di trattamento del rischio, si declinano le seguenti opzioni: mitigare i rischi attraverso la definizione di un piano di trattamento dei rischi che identifichi le azioni, le responsabilità e le priorità di intervento accettare i rischi in modo consapevole evitare i rischi trasferire i rischi di business a terze parti, ad es. assicurazioni o fornitori f) definisce un processo di controllo degli incidenti di sicurezza sui servizi aziendali, integrato con il processo di analisi dei rischi di sicurezza dei processi aziendali g) definisce un sistema di Security Key Indicators (SKI) integrato con il processo di analisi dei rischi di sicurezza dei processi aziendali h) predispone programmi periodici di formazione in ambito sicurezza Il Sistema di Governo della Business Continuity (BCMS) Per quanto concerne il Sistema di Governo della Business Continuity (BCMS) la Direzione aziendale: Pagina 16 di 41

17 a) identifica i principali ruoli di Business Continuity all interno delle singole unità aziendali, ossia costituisce una struttura organizzativa competente che si occupa della gestione e dell implementazione della Business Continuity in azienda ed una struttura organizzativa predefinita per la gestione straordinaria delle emergenze e delle crisi. Inoltre, sono definiti: il Comitato Guida di Business Continuity e Disaster Recovery il Gruppo Interfunzionale di lavoro Business Continuity (Referenti di Business Continuity) b) definisce e diffonde la Politica per la Business Continuity, che stabilisce gli obiettivi del Sistema di Gestione della Business Continuity e dalla quale discende la Strategia di Business Continuity riportata nel Business Continuity Management e definisce e diffonde le Linee guida in termini di continuità operativa c) favorisce la comprensione dell azienda attraverso l identificazione dei suoi servizi chiave e delle sue attività critiche, nonché delle risorse necessarie per il loro mantenimento, attraverso lo svolgimento delle attività di Business Impact Analysis e Risk Assessment d) sviluppa e mantiene aggiornati piani, istruzioni e processi che la mettano in grado di gestire prontamente le emergenze e le crisi e definisce una struttura documentale contenente l insieme dei piani predefiniti che dettagliano come l organizzazione gestisce un evento dannoso e come ripristina e mantiene la continuità delle sue attività in caso di disastro e) predispone programmi periodici di formazione sulla Business Continuity f) predispone test ed esercitazioni periodiche di Business Continuity e di Disaster Recovery g) effettua periodicamente una revisione di tutto il BCMS (Business Continuity Management System) per assicurare la sua rispondenza ed adeguatezza a fronte di cambiamenti normativi, organizzativi, strategici e legislativi Riesame della Direzione Riesame della Qualità La Direzione aziendale esegue il Riesame della Qualità con cadenza annuale al fine di valutare la sua continua idoneità, adeguatezza ed efficacia e verificare il raggiungimento degli obiettivi prefissati nei precedenti Riesami o durante lo svolgimento delle normali attività dell azienda. Il riesame comprende la valutazione delle opportunità per il miglioramento e le esigenze di modifiche del sistema di gestione per la qualità, politica ed obiettivi per la qualità inclusi. Elementi in ingresso per il Riesame della Direzione della Qualità Il Riesame della Qualità è fondato sull analisi delle seguenti informazioni, documentate in modo cartaceo o informatizzato e predisposte dal Rappresentante della Direzione: I risultati delle verifiche ispettive interne, con l indicazione delle Non Conformità, Osservazioni e opportunità di miglioramento Le informazioni di ritorno da parte del Cliente, con particolare attenzione a reclami, elogi, e ai risultati delle indagini di Customer Satisfaction Gli indicatori che misurano le prestazioni dei processi e dei servizi, e relative analisi Lo stato delle azioni correttive e preventive intraprese, in termini di efficienza ed efficacia Le azioni definite nei precedenti Riesami e che vengono valutate nell attuale Riesame Pagina 17 di 41

18 Le eventuali modifiche da apportare ai Sistemi di Gestione di Qualità Le proposte di miglioramento del Sistema Ogni altro dato che la Direzione aziendale ritenga necessario discutere e che abbia impatti diretti o indiretti sui Sistemi di Gestione di Qualità. Elementi in uscita dal Riesame della Direzione della Qualità Alla fine della Riunione di Riesame devono essere definite e documentate: Le decisioni ed azioni stabilite relativamente al miglioramento dei processi e degli obiettivi Le decisioni ed azioni fissate che riguardano il miglioramento delle prestazione dei servizi in relazione ai requisiti dei clienti I bisogni di risorse necessarie per il raggiungimento degli obiettivi e l implementazione delle decisioni prese Il tutto viene formalizzato in opportuni Piani di Miglioramento Riesame della Sicurezza La Direzione aziendale, attraverso le funzioni preposte, effettua annualmente una revisione del proprio Sistema di Governo della Sicurezza delle Informazioni (SGSI) al fine di verificare l esposizione al rischio dei propri servizi, a seguito dell evoluzione delle regole e dei requisiti espressi negli standard di riferimento e nelle normative, con l obiettivo di individuare specifiche contromisure atte a salvaguardare la sicurezza del proprio patrimonio informativo. La Direzione aziendale esegue il Riesame della Direzione sulla Sicurezza con cadenza annuale al fine di valutare il raggiungimento degli obiettivi prefissati nei precedenti Riesami o durante lo svolgimento delle normali attività dell azienda. Elementi in ingresso al Riesame della Direzione sulla Sicurezza Il Riesame della Direzione sulla Sicurezza è fondato sull analisi delle seguenti informazioni (input review, secondo la terminologia ISO27001), documentate in modo cartaceo o informatizzato: Le azioni definite nei precedenti Riesami della Direzione Lo stato delle azioni correttive intraprese all interno del corrente Piano di trattamento del Rischio I risultati delle verifiche ispettive interne, con l indicazione delle Non Conformità, Osservazioni e opportunità di miglioramento I risultati degli audit interni ed esterni in ambito sicurezza. Il sistema degli indicatori di sicurezza relativi ai processi del Sistema di Governo della Sicurezza delle Informazioni I risultati degli Incidenti di Sicurezza sui servizi aziendali. Elementi in uscita al Riesame della Direzione sulla Sicurezza Gli elementi in uscita dal Riesame della Direzione sulla Sicurezza (output review, secondo la terminologia ISO27001), documentati in modo cartaceo o informatizzato, contengono i risultati dell esposizione al rischio dei servizi aziendali, rilevata attraverso il monitoraggio di: Analisi dei rischi infrastrutturali Risultati di audit interni ed esterni Risultati di Visite Ispettive Interne/Esterne di Sicurezza Pagina 18 di 41

19 Analisi degli incidenti di sicurezza Confronto con standard di sicurezza nazionali/internazionali e normative Confronto con Politiche e Linee Guida di Sicurezza aziendali. L esposizione al rischio viene infine trattata attraverso piani attuativi di intervento formalizzati all interno del Piano di Trattamento del Rischio Riesame della Business Continuity La revisione del Sistema BCMS ha l obiettivo di verificare il suo grado di adeguatezza a seguito dell evoluzione delle regole e dei requisiti espressi negli standard di riferimento e nelle normative e di individuare specifiche attività atte a garantirne il suo mantenimento. L adeguatezza viene rilevata attraverso l analisi e l elaborazione dei risultati prodotti delle seguenti attività: Analisi dei rischi Business Impact Analysis Audit interni ed esterni di Business Continuity Verifiche Ispettive interne ed esterne di Business Continuity Confronto con Politiche e Linee Guida di Business Continuity aziendali. Elementi in ingresso al Riesame della Direzione sulla Business Continuity Gli elementi in ingresso del Riesame della Direzione sulla Business Continuity ( Review input secondo la terminologia BS 25999) sono costituiti dagli obiettivi di Business Continuity individuati nell ambito del precedente Riesame della Direzione e dalle altre principali attività svolte o pianificate nel corso dell anno, corredate dal loro stato di avanzamento. In particolare, possono essere oggetto del Riesame: I processi e le procedure che sono state oggetto di revisione nel corso dell anno, I risultati dei Test e delle esercitazioni effettuate nel corso dell anno, I risultati delle attività di Awareness e Training svolte nell anno, Lo stato delle Azioni Correttive e Preventive, L eventuale adozione di nuovi strumenti/tool per migliorare le performance e l efficacia del BCMS. Per quanto riguarda l Analisi dei Rischi e tutte le attività ad essa correlate, si fa riferimento alle attività svolte nell ambito del Sistema per il Governo della Sicurezza delle Informazioni. Elementi in uscita al Riesame della Direzione sulla Business Continuity Gli elementi in uscita dal Riesame della Direzione sulla Business Continuity ( Review output secondo la terminologia BS 25999) sono costituiti dagli obiettivi futuri inerenti la governance del BCMS di SIA-SSB, che possono riguardare, ad es.: L aggiornamento della Politica della Business Continuity Il mantenimento del BCMS Il mantenimento della Certificazione BS L aggiornamento della Business Impact Analysis L aggiornamento dei Business Continuity Plan L effettuazione dei Test e delle esercitazioni Pagina 19 di 41

20 L organizzazione di iniziative di Awareness volte a diffondere ed accrescere la conoscenza e la consapevolezza del BCM in azienda La valutazione della eventuale necessità di ampliare l ambito della Business Continuity. Pagina 20 di 41

21 2. IL SISTEMA DEI PROCESSI L azienda ha definito i suoi processi, distinguendoli in processi di business, di governance e di supporto. 2.1 Processi di Business La mappa generale dei processi di business di SIA-SSB indica come il Company Management System si integri ed interagisca con i processi principali che costituiscono il business di SIA-SSB. I processi di business si collocano lungo un ciclo di vita che genera servizi a valore aggiunto per i clienti di SIA- SSB. Nel pianificare tali processi l azienda ha definito: 1 gli obiettivi di qualità del prodotto/servizio 2 i requisiti relativi al prodotto/servizio 3 le risorse e i documenti necessari per la realizzazione del prodotto/servizio 4 le attività di verifica, validazione, monitoraggio per il prodotto/servizio e i relativi criteri di accettazione ivi inclusi i momenti di Riesame 5 le registrazioni necessarie a dare evidenza che i prodotti/servizi soddisfino i requisiti Sales process Obiettivo del processo è la descrizione delle le modalità da seguire nella predisposizione, approvazione e invio delle offerte ai Clienti di SIA-SSB in modo che: 1 le offerte contengano tutte le informazioni necessarie ai Clienti per poter valutare se accettarle o meno, nonché tutti gli elementi essenziali che regolamenteranno il futuro rapporto contrattuale con il Cliente 2 sia effettuato il riesame dei requisiti e dell offerta, ovvero quanto indicato nelle offerte sia stato preventivamente verificato e accettato da tutte le entità aziendali coinvolte nella fornitura del servizio/prodotto al Cliente 3 l azienda sia pertanto in grado di garantire quanto offerto al Cliente coerentemente con i requisiti espressi Contract management process Obiettivo del processo è la descrizione delle modalità da seguire per la definizione, la redazione, l'approvazione, l'invio ai Clienti e l'archiviazione della documentazione contrattuale relativa ai prodotti/servizi di SIA-SSB, in modo che: 1 per tutti i prodotti/servizi venduti ai Clienti di SIA-SSB siano stati predisposti, firmati ed inviati i documenti contrattuali previsti e sia stata ottenuta la firma di accettazione da parte del Cliente stesso 2 i documenti contrattuali contengano tutte le informazioni relative all'erogazione dei prodotti/servizi e le condizioni a tutela di SIA-SSB e del Cliente 3 quanto indicato nei documenti contrattuali sia stato preventivamente verificato ed accettato da tutte le entità di SIA-SSB coinvolte nella fornitura dei prodotti/servizi al Cliente e sia rispondente ai requisiti Pagina 21 di 41

22 tecnici, organizzativi ed economici convenuti Feasibility process Il Feasibility Process viene attivato per: 1 analizzare le esigenze del cliente, del mercato di riferimento o interne, per tradurle in requisiti e proporre soluzioni di alto livello che implementino tali requisiti 2 supportare ed assistere il management aziendale nell identificazione e valutazione delle maggiori esposizioni ai rischi (operativi, finanziari, legali, contrattuali, informatici o di altra natura) per metterlo nelle condizioni di valutare l opportunità di realizzare un iniziativa 3 effettuare studi di natura tecnica ed economico/finanziaria per permettere al management aziendale di valutare l opportunità di realizzare un iniziativa 4 fornire al processo di vendita le informazioni necessarie per la formalizzazione delle offerte ai clienti. Il processo si applica a tutte le attività aziendali quali: realizzazioni di nuovi prodotti o servizi attività di system integration manutenzioni evolutive evoluzioni tecnologiche risposte a bandi di gara avviamento in produzione di nuovi clienti etc Riesame dei Requisiti I Responsabili delle Direzioni coinvolti nell identificazione dei requisiti provvedono al riesame della fase di fattibilità ovvero al riesame dei requisiti, dello studio di fattibilità e del business plan per assicurare la correttezza dell offerta emessa e dell ordine ricevuto, in particolare che: 1 quanto definito in offerta sia corrispondente ai requisiti del Cliente 2 quanto descritto in offerta coincida con quanto riportato nell ordine 3 ci sia la disponibilità delle risorse competenti e necessarie per la fornitura del servizio Qualora emergano discordanze, queste vengono chiarite internamente e con il Cliente. A fronte di modifiche a offerte o ordini si ripetono i Riesami fino all accettazione da parte del Cliente delle condizioni pattuite Service & Product Development process L obiettivo del Service & Product Development Process è quello di effettuare l analisi di dettaglio dei requisiti (funzionali e non funzionali), il disegno delle soluzioni da implementare e realizzare quanto progettato in conformità con i requisiti iniziali, nel rispetto dei tempi e dei costi pianificati. Pagina 22 di 41

23 Processi relativi al Cliente Determinazione dei requisiti relativi al prodotto/servizio Con l obiettivo di comprendere le esigenze e le aspettative del cliente e in modo da definire correttamente i requisiti del prodotto/servizio, l organizzazione attua e tiene aggiornati i processi relativi al cliente, inizialmente definiti nel feasibility process. Nella fase di progettazione l analisi dei requisiti viene effettuata in modo più dettagliato e puntuale rispetto a quanto definito in fattibilità. In questa fase vengono definiti anche i requisiti di sicurezza e continuità operativa che prevedono un coinvolgimento diretto della funzione Sicurezza. Comunicazioni con il Cliente Le comunicazioni con il Cliente avvengono normalmente tramite contatti telefonici, via o tramite l istituzione di Steering Committee congiunti. Nei casi in cui tali comunicazioni rivestano importanza contrattuale, è previsto che vengano formalizzate attraverso quanto previsto dai processi sales, feasibility e service & product development. Particolare importanza rivestono le segnalazioni dei Reclami dei Clienti debitamente registrate, analizzate e risolte, sempre tenendo informato il Cliente Pianificazione della Progettazione e Sviluppo Per ogni progetto è previsto un Piano di Qualità di Progetto che definisce l insieme delle regole, delle metodologie e dei controlli che verranno applicati al fine di garantire il risultato, il raggiungimento degli obiettivi di qualità e la soddisfazione del Cliente. Nel Piano sono inoltre stabilite: a) le fasi della progettazione e dello sviluppo b) le attività di riesame, dì verifica e di validazione adatte per ogni fase di progettazione e di sviluppo c) le responsabilità e l'autorità per la progettazione e lo sviluppo Gli elementi in uscita dalla pianificazione vengono aggiornati con il progredire della progettazione e dello sviluppo. Nel caso in cui il progetto dia origine ad un servizio, è previsto anche un Piano di gestione del servizio che definisce gli ambienti, gli strumenti di misura e controllo e il personale per l assistenza necessario all erogazione del servizio. Per ogni progetto vengono indirizzati i rischi di sicurezza relativi alle soluzioni di progetto e le relative contromisure. Ogni progetto viene pianificato identificando le fasi definite nel processo, con i relativi momenti di riesame, verifica, validazione della progettazione, e il dettaglio delle singole attività per le quali siano previste specifiche competenze e responsabilità Elementi in ingresso alla Progettazione e Sviluppo Gli elementi in ingresso alla progettazione e sviluppo sono gli output del feasibility process, ovvero: 1 gli Studi di Fattibilità che contengono la definizione dei requisiti, delle caratteristiche tecniche di alto livello e degli obiettivi del progetto Pagina 23 di 41