L OUTSOURCING IT: BEST PRACTICE E AUDITING



Documenti analoghi
Convegno Audit energetici e sistemi di gestione dell'energia: opportunità di sviluppo per il settore industriale (art. 8 Direttiva europea 2012/27/UE)

SISTEMA DI GESTIONE SICUREZZA

SISTEMI DI GESTIONE QUALITA UNI EN ISO Maggio 2011

La Certificazione di qualità in accordo alla norma UNI EN ISO 9001:2000

Politica per la Sicurezza

La manutenzione come elemento di garanzia della sicurezza di macchine e impianti

SISTEMA NAZIONALE DI ACCREDITAMENTO DEGLI ORGANISMI DI CERTIFICAZIONE E DI ISPEZIONE

Contract Management. Flessibilità, Trasparenza e Partnership: elementi chiave per un Accordo di successo

L integrazione dei sistemi qualità, sicurezza, ambiente

Comprendere il Cloud Computing. Maggio, 2013

FORMAZIONE AVANZATA LA GESTIONE E VALUTAZIONE DEI CONTRATTI, PROGETTI E SERVIZI ICT NELLA PA

La gestione della sicurezza nei rapporti con i fornitori esterni, G. Pontevolpe

Guida alla Certificazione ISO 9001 per Piccole Medie Imprese

IL CASO DELL AZIENDA. Perché SAP.


La progettazione centrata sull utente nei bandi di gara

Certificazione ISO Il sistema di gestione per la qualità

Sicurezza delle utenze privilegiate

Stato del Sistema Qualità ISO 9001:2000 e pianificazione delle attività

Bureau Veritas. 23 gennaio Maurizio Giangreco (Team Leader Qualità) For the benefit of business and people

Barometro Service Level Agreement - SLA

Il Risk Management Integrato in eni

ISO il nuovo ponte tra sicurezza e innovazione. Comprendere il cambiamento

SAP per centralizzare tutte le informazioni aziendali

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

ATTIVITÀ OFFERTA ALLE SCUOLE NEL CORSO DELL ANNO SCOLASTICO 2014/2015

Gli standard ISO e UNI per l efficienza energetica: opportunità, benefici e ritorni degli investimenti

Test di Apprendimento

Vulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius

Consorzio Elettra s.r.l /C Prato (PO) Prato (PO)

L ergonomia dei sistemi informativi

Giorgio Bressi. CONVEGNO Terre, rocce e materiali di scavo: riutilizzo, abbandono e il problema del recupero del territorio

Norme per l organizzazione - ISO serie 9000

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Audit in Italy. Catalogo di formazione. Edizione: Dicembre 2011 copyright esclusivo documento non riproducibile

Modello dei controlli di secondo e terzo livello

FINANCIAL & ACCOUNTING BPO, GESTIONE DOCUMENTALE E CONSULTING SERVICES

A cura di Giorgio Mezzasalma

Sistemi di gestione Qualità

Documento di analisi del modulo Fluxus per. Tailback. Fluxus release Firenze, lì 8 novembre Autore : Gianni Portunato

Il mestiere del security manager. Giorgio Ledda Senior Director Security Oracle Corporation

Una soluzione che guarda oltre l archiviazione documentale

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità

REGOLAMENTO COMUNALE PER IL SERVIZIO DI TRASPORTO SOCIALE

SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO


Manuale della qualità. Procedure. Istruzioni operative

UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI

La firma digitale. Autore: Monica Mascia

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT

IS Governance. Francesco Clabot Consulenza di processo.

Perché le regole e come

CICLO DI LEZIONI per Progetto e Gestione della Qualità. Facoltà di Ingegneria INTRODUZIONE. Carlo Noè

I sistemi di gestione: modelli e certificazioni

PASSAGGIO ALLA ISO 9000:2000 LA GESTIONE DELLE PICCOLE AZIENDE IN OTTICA VISION

Sistema di Gestione Integrata Qualità/Ambiente/Sicurezza Doc.3 Politiche aziendale. Qualità/Ambiente

Corso di Amministrazione di Sistema Parte I ITIL 1

SAFETY & QUALITY FORUM 2010

UNI EN ISO 14001:2004 Sistemi di Gestione Ambientale: requisiti e guida per l uso

LA CERTIFICAZIONE AMBIENTALE (UNI EN ISO 14001)

NUOVI APPROCCI PER UN MANAGER ALLENATORE : IL PROCESSO DI COACHING

Sicurezza delle informazioni

MANUALE DELLA QUALITÀ SIF CAPITOLO 08 (ED. 01) MISURAZIONI, ANALISI E MIGLIORAMENTO

SCELTA DELL APPROCCIO. A corredo delle linee guida per l autovalutazione e il miglioramento

Contributo di INAIL alla diffusione dell adozione di un SGSL. INAIL-DR Toscana-CONTARP

Bollettino Ufficiale della Regione Lombardia Suppl. Straordinario al n maggio 2009 ALLEGATO C

Soluzioni su misura per le flotte aziendali A confronto con André Siegrist della società René Faigle AG

Unità di Supporto alla Ricerca CARTA DEI SERVIZI. CARTA DEI SERVIZI ottobre 2011 Pagina 1

1- Corso di IT Strategy

THS: un idea semplice, per un lavoro complesso.

BS OHSAS 18001:2007 OHSAS Revisione marzo Sara Zullo (Firma) Preparato da

Assirm Quality Program FAQ

Otto Principi sulla Gestione per la Qualità previsti dalla ISO 9000:2005

Attraverso i nostri servizi troverete più tempo per dare spazio alle Vostre idee, e quindi trovare nuove possibilità ed opportunità di crescita.

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

Politica di Acquisto di FASTWEB

Metodi di calcolo dei costi di prodotto

Scopri come Creare e Vendere viaggi online! Il software per gestire le tue pratiche e i tuoi clienti: Et-Gest

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

IMPIANTI INDUSTRIALI. I Sistemi di gestione per la qualità secondo norma UNI EN ISO 9001:2008 Di Andrea Chiarini andrea.chiarini@chiarini.

SGSL UN SISTEMA PER LA GESTIONE DELLA SICUREZZA SUL LAVORO NELLA SCUOLA

POLITICA DEL SISTEMA DI GESTIONE INTEGRATA POLITICA PER LA QUALITÀ E PER LA SICUREZZA

THE BENCHMARKING CLUB. Benchmarking Study. La Sicurezza Informatica

LA NORMA OHSAS E IL TESTO UNICO SULLA SICUREZZA 81/2008: IMPATTO SUL SISTEMA SANZIONATORIO

Audit & Sicurezza Informatica. Linee di servizio

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

Agenda. Il Gruppo CertiNergy. CertiNergia. Punti di Forza. 29/04/ Tutti i diritti di autore sono riservati 2

TENUTA SOTTO CONTROLLO DELLE REGISTRAZIONI

M-DIR-03 Politica e Codice Etico

Software per Helpdesk

La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in

Progetto Formativo Aziendale Programma corso

La reingegnerizzazione dei processi nella Pubblica Amministrazione

MISURAZIONI ANALISI E MIGLIORAMENTO

NON TUTTI I PANDORO SONO UGUALI. così come NON TUTTI GLI ERP SONO UGUALI SCEGLIE SAP!

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

Ridurre i rischi. Ridurre i costi. Migliorare i risultati.

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data:

Transcript:

L OUTSOURCING IT: BEST PRACTICE E AUDITING La Sicurezza e gli SLA, PhD CISA CISSP UCCI.IT

Outsourcing? Sicurezza Contratto

Sicurezza Conoscere i propri sistemi Conoscere i propri dati/informazioni Conoscere i propri utenti Politiche, Linee Guida, Procedure, Istruzioni Operative... Controlli

Sicurezza e Outsourcing Non conosciamo i sistemi Conosciamo i dati/informazioni Conosciamo gli utenti Non conosciamo gli amministratori ICT Non gestiamo i sistemi ICT

Sicurezza e Outsourcing Abbiamo Politiche ecc. Ma i sistemi ICT sono gestiti con altre Politiche ecc. Gestione, controllo e verifica dei sistemi ICT sono fatti dal Fornitore Ma i dati sono del Cliente!

Esempio: Sicurezza e Outsourcing Imporre Politiche di accesso ai dati Sapere chi ha avuto accesso ai dati Anche tra gli amministratori di sistema Report delle violazioni... Senza avere controllo ne accesso amministrativo ai sistemi Come?

Come fare: Outsourcing Ottenere accesso amministrativo ai sistemi Non ha senso: Il Cliente deve mantenere gli amministratori di sistema come se avesse il sistema in casa Il Fornitore condivide le risorse tra più clienti e non può permettere ai tutti i clienti di controllare i propri sistemi Ogni Cliente ha Politiche diverse

Il Contratto Specificare nel contratto: Non solo le funzionalità richieste Anche i controlli e le Politiche da implementare Il Fornitore deve avere Politiche generali che garantiscano il rispetto di quelle dei Clienti Certificazioni internazionali (ISO, SAS70 ecc.) aiutano ma non sono sufficienti

Attenzione: Il Contratto ICT cambia molto rapidamente Le implementazioni delle Politiche cambiano altrettanto rapidamente Il contratto, negli allegati tecnici, deve cambiare altrettanto rapidamente e frequentemente!

Problema Come fare a verificare che le politiche del Cliente siano correttamente implementate dal Fornitore? Il Cliente ha il diritto (in prima persona o tramite terzi) di eseguire verifiche (audit) sul Fornitore Di solito è utile ma non è sufficiente Service Level Agreement (SLA)

S L A Gli SLA sono il cardine per il Controllo da parte del Cliente sui servizi offerti dal Fornitore: Descrizione tecnica dettagliata dei servizi Garanzie sulla Qualità e Continuità dei servizi Penali in caso di mancata osservanza

S L A e Sicurezza Ma sono anche in pratica l'unico modo per il Cliente di imporre e controllare le misure di sicurezza necessarie: Descrizione dettagliata delle misure di sicurezza da implementare Descrizione dettagliata del reporting Misure da implementare in caso di incidenti di sicurezza...

S L A Il punto di vista di Fornitore e Cliente sugli SLA sono diversi: Per il Fornitore sono misure tecniche da implementare (efficacemente) Per il Cliente sono gli strumenti di controllo sui servizi offerti dal Fornitore per: Raggiungere gli obiettivi di Business Implementare le Politiche di sicurezza

S L A Fornitore Descrizione tecnica del servizio (a basso livello) Caratteristiche garantite Descrizione dei metodi di misura Reporting Penali ecc.

S L A Cliente A due livelli: Descrizione del servizio dal punto di vista del business: Obiettivi di business Garanzie, penali ecc. Descrizione dei singoli processi che lo compongono Caratteristiche tecniche Garanzie, metodi di misura, penali ecc.

S L A Gli SLA sono critici per il successo di un contratto di Outsourcing In pratica sono il vero strumento di controllo del contratto Devono essere rivisti periodicamente e frequentemente Devono essere elaborati insieme da Cliente e Fornitore per poter soddisfare le esigenze di entrambi

Grazie per l'attenzione

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back