La information security integrata nel management system aziendale. Eugenio Marogna 6 dicembre 2002

Documenti analoghi
LA PROPOSTA OPERATIVA

P r e f a z i o n e. Piano dell opera

Swascan for GDPR SWASCAN. Il servizio di GDPR Chiavi in mano REGISTRATI E ACCEDI AL FREE TRIAL. In collaboration with CISCO

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

MAPPATURA DEI PROCESSI AZIENDALI

Organigramma. Roma, ottobre 2015

Manuale del sistema di qualità aziendale

ACM CERT S.r.l. ACM CERT S.r.l. Corso Auditor/Lead Auditor ISO 9001:2015. Organismo di Certificazione. SGQ n. 135A

AREA C: SISTEMI INTEGRATI

PIANO DI ADEGUAMENTO DEL SISTEMA QUALITA ALLA NUOVA UNI 9001:2015

ORGANIZZAZIONE Un modello organizzativo per l efficacia e l efficienza dello Studio

1

Università di Pisa Master in Management delle Aziende Sanitarie

PORTAFOGLIO dei Servizi. maggio / 2019

Kit Documentale Qualità UNI EN ISO 9001:2015

Sessione di studio AIEA 15 dicembre 2004, Milano. IT Governance Modello di gestione. Michele Barbi, CISA - Etnoteam

Figure professionali individuate per il progetto

Offerta di servizi consulenziali alle società di calcio professionistico Labet Srl. All rights reserved.

20 ALLEGATO. Questo allegato contiene i seguenti documenti: 1- ESEMPIO DI PROCEDURA DI RIESAME DELLA DIREZIONE

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

PIERO NANNI. Chi sono. Lingue Inglese

Qualità. Qualità. L impresa guidata dal cliente. Realizzare un sistema qualità GOVERNARE L IMPRESA NELL ECONOMIA DELL INCERTEZZA

Kit Documentale Qualità UNI EN ISO 9001:2015. Templates modificabili di Manuale, Procedure e Modulistica. Nuova versione 3.

Allegato 3 - SCHEDE DI PROCESSO

MODELLI DI MANAGEMENT

Organigramma. 3 Marzo 2016

Il sistema di pianificazione, programmazione e controllo

Organizzazione e Vantaggio Competitivo. Coordinazione. Competitivo. Vantaggio. Suddivisione. Specializzazione. Poteri. Obiettivi.

Oltre la sicurezza. Tutela e valorizzazione degli investimenti

L informazione in azienda Problema o fattore di successo?

FEBBRAIO 2009 R. DE PARI

RISK MANAGEMENT ISO GESTIRE I RISCHI DI IMPRESA

SMART ASSET 3 SERVIZI DI ENTERPRISE ASSET MANAGEMENT

CALENDARIO CORSI 2018

I sistemi di Pianificazione e Controllo. Emilio Botrugno

Aspetti operativi della analisi e dell adeguamento SOX per i sistemi informativi. Yann Bongiovanni

CLASSE INDIRIZZO ANNO SCOLASTICO DISCIPLINA DOCENTE

CRAMM. Fase 2 Analisi di vulnerabilità, misura del rischio

Corso per Progettisti dei Sistemi di Gestione per la Qualità UNI EN ISO 9001:2008 PROGRAMMA DEL CORSO 32 ORE

Direzione Centrale Pianificazione e Comunicazione

Risk Management e Sistemi di Gestione Integrati

Consulenza per la creazione di un Sistema Organizzativo e Gestionale per la Qualità basato sullo standard certificato ISO 9001

OLOMEDIA s.r.l. Via Simone Cuccia 46, Palermo ( PA )

AREE FUNZIONALI PIANIFICAZIONE MARKETING PRODUZIONE E LOGISTICA RICERCA E SVILUPPO FINANZA ORGANIZZAZIONE E PERSONALE AMMINISTRAZIONE E CONTROLLO

PRIVACY 2018 DATA PROTECTION REGOLAMENTO UE 2016/679 SICUREZZA UE CENSIMENTO OBLIO DATABREACH REGOLAMENTO PSEUDONOMIZZAZIONE CONSENSO ESTRAZIONE

CALENDARIO CORSI 2017

Modelli di business e determinanti della redditività

F ORMATO EUROPEO PER IL CURRICULUM VITAE

IL PROGETTO FORMATIVO «LA NORMA ISO PER IL SISTEMA INFORMATICO»

Massima razionalizzazione nella gestione della prevenzione e del rischio credito con un sistema di screening e di workflow

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

Oltre la sicurezza. Tutela e valorizzazione degli investimenti

COBIT 5 for Information Security

NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY APPROCCIO METODOLOGICO PER LE ATTIVITÀ DI ADEGUAMENTO. AL GDPR 20 Febbraio 2019

PROCEDURE DEMO WINPLE.IT

VADEMECUM PER ADEGUARSI ED OPERARE SECONDO I REQUISITI DEL DCA 469/2017 REGIONE LAZIO

Alessandro D Ascenzio

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

Servizi di gestione integrata degli immobili

[RAGIONE SOCIALE AZIENDA] [Manuale Qualità]

Il tuo Partner Tecnologico. Soluzioni per tecnologie Informatiche e Telecomunicazioni facili da gestire, utilizzare e far crescere.

I REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015

I PROCESSI DELL AREA SISTEMI INFORMATIVI

Indice Introduzione 1 Strumenti ICT 2 Comunicazione e Formazione

Servizi di investimento: Linee guida per la Funzione Compliance

CALENDARIO CORSI 2016

CONSULENZA STRATEGICA AZIENDALE

RUOLO E PROFESSIONALITA DELLE FIGURE UTILIZZATE

Riferimento generale: il ciclo di Deming:

Il progetto RiformAttiva: i risultati raggiunti Claudia Migliore

2016-A1617 Percorsi di Sviluppo 2017

SGSI CERT CSP POSTE ITALIANE

CORRELAZIONE REQUISITI ISO 9001: : contesto dell'organizzazione 4.2 Sistema di gestione per la qualità

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

MODULO 1 INTRODUZIONE AL SISTEMA INTEGRATO

PIANIFICAZIONE STRATEGICA REDAZIONE, VERIFICA, APPROVAZIONE STATO DELLE REVISIONI

IL NUOVO MODELLO ORGANIZZATIVO PRIVACY

CONTRATTO CCNL METALMECCANICI

PROGRAMMA ATTUAZIONE DI UN SISTEMA DI GESTIONE PER LA QUALITÀ NELLE STRUTTURE SANITARIE CORSO RIVOLTO AL PERSONALE INTERNO AL POLICLINICO TOR VERGATA

Corso destinato agli Incaricati per i Sistemi di Gestione Ambientale UNI EN ISO 14001:2004 PROGRAMMA DEL CORSO 24 ORE

BANDO FORMAZIONE CONTINUA ANNO 2015/16 IV^ FINESTRA

La Gestione dei Rischi in INPS. Gianni Scopetani

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Aspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane

Analisi, revisione e implementazione di un modello organizzativo in Qualità nello Studio Legale

Lunga Vita alle Infrastrutture idriche: politiche di Asset Management. Bressanone,

Forum Architetture per la Sanità Progettare e costruire spazi per la salute

Programma didattico. Business Continuity Management

Incontri Visite guidate. C. d. C. Sensibilizza e orienta. Studenti. Cultura di Impresa Azienda Impresa Etica Aziendale e del GESTIONE OPERATIVA

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

LA FUNZIONE COMPLIANCE DI UNICREDIT

ITIL e PMBOK Service management and project management a confronto

L applicazione del SISTEMA di GESTIONE per la QUALITA ISO 9001:2000 nella Provincia di Forlì-Cesena

Transcript:

La information security integrata nel management system aziendale. Eugenio Marogna 6 dicembre 2002

Management System & Sicurezza visione integrata Strumento di management per la condivisione degli obiettivi a tutti i livelli dalla vision alla sua applicazione puntuale all interno dell azienda, attribuendo le responsabilità e controllando l andamento dei risultati, in modo analitico

Strategia della azienda Obiettivi strategici alle Direzioni Obiettivi alle aree e uffici Piani di qualità & budget di area e direzione Piani di qualità di servizioprogetto Revisioni periodiche dei piani Risultati Soddisfazione del cliente Stockholders Stakeholders

- Disegno requisiti Ideazione del servizio Studio di progetto/ fattibilità Validazione studio/ progetto Approvazione e assegnazione priorità Pianificazione progetto funzionali - Disegno architettura - Codifica del software - test interno - Organizzazione erogazione servizio e acceptance test Test esterno Vendita Avviamento Clienti Erogazione del servizio Help Desk (1 livello) Assistenza Clienti (2 livello) Piano di marketing Piano di qualità di progetto & budget Riesame Piano di qualità di progetto Procedure per il test e il collaudo Controllo di erogabilità Piano della qualità Procedura per il reporting di erogazione Procedura per la redazione dei contratti Procedura di vendita Contabilità analitica Ciclo passivo Ciclo attivo Budget Piano dell unità organizzativa Consuntivi / reporting / revisioni di budget Piano della formazione e dello sviluppo delle risorse Gestione delle risorse Procedura di avviamento

Vendita Avviamento Clienti Erogazione del servizio Help Desk (1 livello) Studio di progetto/ fattibilità Approvazione e assegnazione priorità - Disegno requisiti funzionali - Disegno architettura - Codifica del software - test interno - Organizzazione erogazione servizio e acceptance test Assistenza Clienti (2 livello) Validazione studio/ progetto Ideazione del servizio Pianificazione progetto Test esterno

We are what we network (George Cybenko) We cannot solve the problems that we have created with the same thinking that created them (Albert Einstein)

Un parallelo BS 7799 ISO 9000 Vision 2000 Principi Generali di Sicurezza 675/96 Manuale della Qualità Politiche di Sicurezza per il Sistema Informativo 675/96 Linea Guida per l erogazione dei servizi Linee guida: analisi dei rischi -----------> censimento macrodati piani per la sicurezza ------> gestione degli incidenti business continuity.. 675/96 675/96 Linee guida: riesame del contratto gestione delle anomalie gestione dei rilasci sistema di reporting....

Processo di implementazione Definizione degli Obiettivi Pianificazione Analisi della normativa Definizione dei requisiti Analisi dei rischi Rilevazione Interviste Mappatura di processo Rilevazioni procedurali Analisi della documentazione Analisi degli Scostamenti Analisi degli scostamenti Analisi del rischio residuo Pianificazione dell adeguamento Adeguamento Recepimento della normativa Reingegnerizzazione dei processi Configurazione delle risorse Formazione

Analisi della normativa 4.3.1 - Protezione delle risorse 4.3.1.1 - Inventario degli asset Deve essere redatto e mantenuto aggiornato un inventario di tutte le risorse rilevanti nell'ambito della società. Esiste ed è aggiornato l'inventario di tutte le informazioni e le risorse importanti per SIA? 4.3 Controllo e classificazione delle risorse 4.3.2.1 Linea guida per catalogazione La classificazione di sicurezza ed i controlli associati devono essere adeguati all'importanza che l'informazione riveste nell'ambito aziendale. La classificazione di sicurezza ed i controlli associati sono consistenti con le necessità di business, in particolare verso la riservatezza, la disponibilità e l integrità dei dati? 4.3.2 - Classificazione delle informazioni 4.3.2.2 - Catalogazione e gestione Devono essere definite un insieme di procedure per catalogare e gestire le informazioni in conformità con il metodo di classificazione adottato. Le procedure per catalogare e la gestire le informazioni sono conformi con il metodo di classificazione adottato?

Analisi dei rischi del Servizio/Progetto

Elaboratori e macrodati Analisi delle criticità 1

Macrodati Valutazione della criticità

Azioni preventive e correttive Requisiti di sicurezza

Aggiornamento dei piani aziendali

Rilevazione e analisi degli scostamenti (Statement of Applicability) Domanda Classe Esiste? Evidenza documentale Interventi pianificati Motivi della non applicazione Criticità residua DIR1 DIR2 DIR3 Sono attentamente verificatore le domande di assunzione per posizioni che comportano accesso alle risorse IT? (es. controllo delle referenze, check del CV, identificazione, controllo finanziario)? X X

Adeguamento Riesame del Piano di Qualità di Progetto Riesame del Piano di Qualità di Erogazione Riesame del Business Plan

Policy Strategia della azienda Obiettivi strategici alle Direzioni Obiettivi alle aree e uffici Piani di qualità & budget di area e direzione Piani di qualità di servizioprogetto Statement of Applicability (Business Alignment) Revisioni periodiche dei piani Risultati Soddisfazione del cliente Stockholders Stakeholders

- Disegno requisiti Ideazione del servizio Studio di progetto/ fattibilità Validazione studio/ progetto Approvazione e assegnazione priorità Pianificazione progetto funzionali - Disegno architettura - Codifica del software - test interno - Organizzazione erogazione servizio e acceptance test Test esterno Vendita Avviamento Clienti Erogazione del servizio Help Desk (1 livello) Assistenza Clienti (2 livello) Business Plan Piano di qualità & budget Risk Assessment Riesame Piano di qualità di progetto Procedure per Inventory of assets il test e il collaudo Risk Management Controllo di erogabilità Piano della qualità di erogazione Procedura per il reporting Inventory of assets Procedura per la redazione dei contratti Risk Management Procedura di vendita Contabilità analitica Ciclo passivo Ciclo attivo Budget Piano dell unità organizzativa Consuntivi / reporting / revisioni di budget Piano della formazione e dello sviluppo delle risorse Gestione delle risorse Procedura di avviamento

Corporate Governance Enhancing the return on capital through increased accountability (Corporate Governance: www.corpgov.net ) un modello organizzativo chiaro e ben definito, con adeguate ripartizioni di responsabilità e poteri e con un corretto equilibrio tra gestione e controllo (Borsa Italiana: Codice di Autodisciplina. Stefano Preda)

PIANO DI APPLICAZIONE DEL SISTEMA QUALITA E DI SICUREZZA (giugno 2000)

Obiettivi della Qualità Consolidare il Sistema Qualità, completando la sua evoluzione a Sistema di Gestione (da Quality System a Management System) Evoluzione della metodologia e dei relativi strumenti di supporto verso il nuovo standard internazionale Vision 2000 Estensione della metodologia a tutti i processi della filiera produttiva, dall idea alla progettazione alla erogazione

Obiettivi della Sicurezza Consolidare la conformità dei servizi SIA alle leggi nazionali e ai regolamenti di settore Legge 675/96 Sviluppo e applicazione del Piano della Sicurezza Formazione del personale Evoluzione della metodologia e del Piano della sicurezza verso i nuovi standard internazionali British Standard 7799

Obiettivi principali del progetto Convergenza degli aspetti relativi alla legge 675/96 (Privacy) e alla sicurezza nel Sistema Qualità Estensione del piano della sicurezza a tutto il ciclo di vita dei servizi (sviluppo e erogazione), secondo lo standard BS7799 Estensione del piano della sicurezza a tutta l azienda, attraverso la pianificazione di qualità Estensione del Sistema Qualità alle procedure di budget, di marketing, di controllo di gestione Realizzazione del piano di sicurezza e relativi adeguamenti dei servizi alle misure minime previste dalla legge 675/96 Formazione del personale SIA sulla sicurezza (rischi e modalità di protezione)

Piano delle attività (1) Conferma del certificato ISO 9001 Tick-IT (maggio 2001) Sviluppo dei metodi e degli strumenti documentali per il budget (maggio 2001) Sviluppo dei metodi e degli strumenti documentali per il business plan (giugno 2001) Integrazione del sistema qualità e sicurezza nel sistema di KPI e relativo progetto di metriche aziendali (luglio 2001) Integrazione della metodologia di analisi dei rischi (business, IT, privacy) nei piani della qualità di progetto e di erogazione (giugno 2001)

Piano delle attività (2) Selezione di (4-6) progetti / servizi chiave per ogni Divisione di business e Direzione di tecnologia e applicazione dei metodi della qualità e sicurezza così integrati (giugno 2001) Programma di formazione specifica su qualità e sicurezza Programma di verifiche interne di controllo avanzamento e supporto sui progetti e servizi individuati: circa una sessione di verifiche al mese Verifica preliminare di DNV sul sistema di Sicurezza, secondo la norma BS7799 (luglio2001) Prima verifica di certificazione Vision 2000 e BS7799 (inizio ottobre 2001) Verifica definitiva di certificazione Vision 2000 e BS7799(fine novembre 2001)

Risultati 2002

Certificazione BS7799 per TUTTE le attività dell azienda dicembre 2001 Certificazione ISO9001:2000 per TUTTE le attività aziendali luglio 2002

Sforzo Revisione delle procedure del Management System (~30) Revisione dei principali templates (~10) Stesura di nuovi documenti ad-hoc (~ 5) Formazione (anni/persona) Risk assessment e S.O.A. per tutti i servizi e i progetti (anni/persona) Verifiche ispettive di avanzamento (inclusi follow up) (anni/persona)

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back