Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

Documenti analoghi
Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

Sistema Informativo Unitario Regionale per la Programmazione (S.I.U.R.P.) LA SICUREZZA INFORMATICA

SGSI CERT CSP POSTE ITALIANE

Aspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

"Organizzazione del lavoro, Responsabilità amministrativa degli enti ed efficacia esimente ai sensi dell'art. 30 dlgs 81/08: l'importanza

IL TRATTAMENTO DEI DATI PERSONALI IN AMBITO SANITARIO

SERVIZI SPECIALISTICI LEGALI E TECNICO- SISTEMISTICI PER ADEGUAMENTO ATTIVITÀ AL CODICE DELLA PRIVACY.

Il D.Lgs. 231/2001 e l esperienza di Confindustria Bergamo. Stefano Lania Servizio Fiscale e Societario 13 Novembre 2013

La nuova edizione della norma ISO (seconda parte)

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

GRUPPO HERA: INTEGRAZIONE DEL CYBER RISK NELL APPROCCIO ERM. Cybersecurity Summit 2016 Milano 24 maggio 2016

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona

RELAZIONE ANNUALE 2016 DELLE ATTIVITÀ DI CONTROLLO SVOLTE DALL ORGANISMO DI VIGILANZA. ai sensi del D.Lgs. 231/2001

Qualification Program in Information Security Management according to ISO/IEC Cesare Gallotti Milano, 23 gennaio 2009

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Proposta per l organizzazione della Sicurezza Informatica dell ISTI

AMMINISTRAZIONE, FINANZA E CONTROLLO

Responsabilità della Direzione INDICE SCOPO CAMPO DI APPLICAZIONE RIFERIMENTI NORMATIVI FIGURE E RESPONSABILITÀ...

Coordinamento organizzativo nazionale dei Manager didattici per la qualità

[RAGIONE SOCIALE AZIENDA] [Manuale Qualità]

L impatto della ISO 9001:2015 sulla privacy

Sicuramente

L esperienza di Snam Rete Gas

L orientamento della cultura aziendale verso gli obiettivi di compliance.

Centro Previsioni e Segnalazioni Maree Previsioni di marea astronomica alla Diga di Chioggia Gennaio 2017

Iniziativa : "Sessione di Studio" a Roma. Roma, 3 marzo 2010 presso Monte Paschi Siena. 1 marzo p.v.

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

Politica per la Sicurezza

STT e BS7799: traguardo ed evoluzione in azienda

Analisi, revisione e implementazione di un modello organizzativo in Qualità nello Studio Legale

- Nuovo scenario di riferimento - Sistema di gestione della Security aziendale - Risk Management - Aspetti normativi - Funzioni del Security Manager

I REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015

Compiti, requisiti e poteri

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

Attestazione sul bilancio SAES Getters S.p.A.

GESTIONE DEL SISTEMA SICUREZZA OHSAS CON L UTILIZZO DI QUALIBUS CASO DI STUDIO Q061

L approccio gestionale all applicazione in azienda del sistema REACH e CLP

Marco Salvato, KPMG. AIEA Verona

IL SISTEMA DI GESTIONE DELLA QUALITA SECONDO LA NORMA ISO 9001:2000

Poste/Bancoposta: una trasformazione da Ispettorato a Internal Auditing Evoluto

Kit Documentale Qualità UNI EN ISO 9001:2015. Templates modificabili di Manuale, Procedure e Modulistica. Nuova versione 3.

Alessandro Musumeci Direttore Centrale Sistemi Informativi. Roma, 29 maggio 2013

L APPLICAZIONE CONCRETA DEL D.LGS. 231/01: IL RUOLO DELLE LINEE GUIDA CONFINDUSTRIA E L ESPERIENZA DI CONFINDUSTRIA VERONA

Colin & Partners. Business Unit e Servizi

Pubblica Amministrazione

Tecnico dei servizi di impresa. Standard della Figura nazionale

La rete qualità e governo clinico dell'azienda USL di Bologna Dalla formazione ai progetti aziendali

Information Systems Audit and Control Association

SOMMARIO. Capitolo 1 Passato, presente, e futuro del Privacy Officer. Capitolo 2 Il Privacy Officer: ruolo, compiti e responsabilità

DPR 318 e sua entrata in vigore

ATTIVITA DI CONFORMITA Relazione di Consuntivo Anno 2012

Pianificazione delle attività di Compliance nel gruppo Deutsche Bank SpA

INDICE CAPITOLO 1: NORMAZIONE, CERTIFICAZIONE E ACCREDITAMENTO... 15

La certificazione di 3^ parte dei Sistemi di Gestione Stefano PROCOPIO

TENUTA SOTTO CONTROLLO DELLE REGISTRAZIONI

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

All. 1 GLOSSARIO E COMPATIBILITA DEI RUOLI

INTERNAL AUDIT. Giorgio Ventura CETIF, 22 giugno 2004

MANUALE DELLA QUALITA SISTEMA GESTIONE QUALITA SISTEMA GESTIONE QUALITA

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Seminari / Corsi / Percorsi formativi INDICE

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS (Information Security Management Systems) AUDITOR / RESPONSABILI GRUPPO DI AUDIT

Gestione delle risorse

Dalle BS :2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005

I passi per la certificazione del Sistema di Gestione dell Energia in conformità alla norma ISO Giovanni Gastaldo Milano, 4 ottobre 2011

Politica del Sistema di Gestione Salute, Sicurezza e Ambiente (Politica HSE)

Concetti generali e introduzione alla norma UNI EN ISO 9001/2008

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS

Linee Guida per la gestione del Codice di Repertorio

CALENDARIO CORSI 2016

INTEGRAZIONE E AGGIORNAMENTO DEI SISTEMI DI GESTIONE (QUALITA, SICUREZZA, AMBIENTE)

Sistemi informativi in ambito sanitario e protezione dei dati personali

Calendario Corsi 2012

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013

Obblighi di controllo dei Fornitori esterni. Rischio tecnologico

Assindustria Servizi srl organizza un corso di tre giornate su Il Business Plan.

PROCEDURA DI GESTIONE DELLE VERIFICHE ISPETTIVE INTERNE

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

IL CODICE PER LA PROTEZIONE DEI DATI PERSONALI. La normativa nazionale e quella regionale

La gestione della Sicurezza nel Gruppo CRIF. La struttura organizzativa

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

FORWARD LOOKING ASSESSMENT OF OWN RISK:

Oggetto Corso teorico-pratico "Il Business Plan - modelli e strumenti" - 16 ore

SISTEMA DI GESTIONE QUALITÀ PER I LABORATORI DI ANALISI SENSORIALE DELL'OLIO DI OLIVA VERGINE - CHECKLIST

Privacy e attività bancaria: evoluzione normativa, sicurezza e innovazione

CATALOGO OFFERTA FORMATIVA

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

La funzione antiriciclaggio nel sistema di controllo interno: ruolo, responsabilità e rendicontazione delle attività svolte

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

Un'efficace gestione del rischio per ottenere vantaggi competitivi

ANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager

Diagnosi energetica o certificazione ISO 50001: saper scegliere consapevolmente

PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE

I Sistemi di Gestione della Sicurezza e la Certificazione BS OHSAS 18001

REGOLAMENTO ENAC MEZZI AEREI A PILOTAGGIO REMOTO. Normativa e sviluppi. Milano, 24 Ottobre 2014

MANUALE SISTEMA DI GESTIONE INTEGRATO QUALITA E AMBIENTE

IL PARTNER PER LA TRANQUILLITÀ DELLA TUA AZIENDA

Transcript:

Risultati attività piano di rientro 2015 BHW Bausparkasse AG Consulente: Daniele De Felice Data: 16/06/2015

Introduzione Il presente documento descrive le attività svolte durante la terza fase del piano di rientro previsto a seguito dell Information Security Risk Assessment svolta, per consentire l aumento dei livelli di conformità relativamente allo standard internazionale ISO/IEC 27001:2005. Descrizione dell attività La prima fase del piano di rientro prevedeva quanto segue: Metà Gennaio 2015 Fine Febbraio 2015 1. Impostazione di una politica per la sicurezza (100%) 2. Regole per la classificazione delle informazioni (100%) 3. Policy e linea guida per la gestione degli asset (100%) 4. Definizione e formalizzazione delle operazioni di Change Management (100%) 5. Adempimenti Privacy (100%) La seconda fase del piano di rientro prevedeva quanto segue: Inizio Marzo 2015 Meta Aprile 2015 1. Regole per il Monitoraggio e la Revisione dei servizi delle terze parti (100%) 2. Regole per il controllo e la verifica del rispetto degli SLA concordati (100%) 3. Procedure di Change Management relativamente a servizi e infrastrutture tecnologiche demandati esternamente (100%) 4. Trasmissione delle informazioni (100%) 5. Business Continuity (100%) 6. Prevenzione e gestione incidenti di sicurezza (100%) 7. Gestione della sicurezza servizi di rete (100%) La terza fase del piano di rientro prevedeva quanto segue: Metà Aprile 2015 Fine Maggio 2015 1. Monitoraggio degli accessi logici e fisici (100%) 2. Formazione del personale operativo nelle sedi di Verona e Bolzano (100%) 3. Realizzazione di procedure operative relative al trattamento dati (100%) 4. Nuova Analisi del rischio (100%) 5. Audit ISO27001 (100%). Documento: Risultati attività piano di rientro 2015 2/6

Sono state svolte tutte le attività indicate, in particolar modo, Ewico ha prodotto e condiviso con il gruppo di lavoro interno di BHW Bausparkasse Italia (Michele, Enrica ed Antonello) 3 ulteriori documenti che sono stati consegnati e che verranno gestiti rispettando tutti i requisiti di riservatezza idonei per tale documentazione. Durante le nostre attività, sono stati svolti degli incontri, delle call conference telefoniche con i referenti e due seminari con il personale operativo nelle sedi di Verona e Bolzano. I documenti rilasciati e che oggi sono in carico al gruppo di lavoro interno sono i seguenti: 1. BHW_Checklist_ISO27001_v2.0 2. Risk Assessment BHW v2.0 3. Riesame analisi dei rischi Nello specifico, il primo documento raccoglie al suo interno i risultati ottenuti da un audit secondo i requisiti dello standard internazionale ISO 27001:2005 ed il livello di conformità. Il secondo documento raccoglie i risultati della nuova analisi del rischio, dove sono state analizzate una per una tutte le minacce e le vulnerabilità associate agli asset informativi aziendali. Il terzo documento definisce l attività di riesame dell analisi del rischio ed al suo interno sono riportati i risultati comparati tra la prima attività di dicembre 2014 e quella effettuata in maggio 2015. In questa fase sono state poi raccolte ulteriori metodologie di controllo definite da RUN relativamente alla gestione dell infrastruttura tecnologica e degli accessi logici ai sistemi gestiti da RUN per l infrastruttura tecnologica italiana di BHW. Sono state realizzate due attività formative, una nella sede di Bolzano ed una presso la sede di Verona. La formazione ha avuto come argomento principale il trattamento sicuro del patrimonio informativo aziendale in particolare riferimento ai concetti privacy. Risultati Per un immediato raffronto in termini numerici, vengono di seguito riportati i risultati ottenuti dalla nuova analisi del rischio ed i risultati della precedente attività e dei livelli di conformità rispetto allo standard ISO 27000 a seguito dei due audit svolti: PRIMA ANALISI DEL RISCHIO (9 dicembre 2014) Documento: Risultati attività piano di rientro 2015 3/6

SECONDA ANALISI DEL L RISCHIO (26 maggio 2015) Risultati prima Audit ISO 27001 dell 11 novembre 2014: DOMINIO DI CONTROLLO Liv. Conformità 1 Politica per la sicurezza 40% 2 Organizzazione per la sicurezza 40% 3 Gestione degli asset aziendali 10% 4 Sicurezza delle risorse umane 30% 5 Sicurezza fisica e ambientale 50% 6 Gestione delle comunicazioni e dei processi 40% 7 Controllo accessi 40% 8 Acquisizione, sviluppo e manutenzione sistemi 50% 9 Gestione degli incidenti 50% 10 Gestione della continuità aziendale 50% 11 Conformità 50% Documento: Risultati attività piano di rientro 2015 4/6

Risultati secondo Audit del 26 maggio 2015: DOMINIO DI CONTROLLO Liv. Conformità 1 Politica per la sicurezza 90% 2 Organizzazione per la sicurezza 80% 3 Gestione degli asset aziendali 70% 4 Sicurezza delle risorse umane 60% 5 Sicurezza fisica e ambientale 70% 6 Gestione delle comunicazioni e dei processi 60% 7 Controllo accessi 70% 8 Acquisizione, sviluppo e manutenzione sistemi 70% 9 Gestione degli incidenti 80% 10 Gestione della continuità aziendale 70% 11 Conformità 60% Per il raggiungimento degli obiettivi preposti, sono state realizzate policy, procedure e linee guida e tutti i documenti sono stati condivisi e rilasciati al gruppo di lavoro interno. Di seguito l elenco di tutta la documentazione prodotta: 1. Politica per la sicurezza delle informazioni 2. Policy comportamentali per il trattamento dei dati 3. Procedura di Change Control Management 4. Riutilizzo e dismissione supporti di memorizzazione 5. Classificazione e trasmissione delle informazioni 6. Gestione dei dispositivi portatili 7. Regole per il monitoraggio e la revisione dei servizi demandati alle terze parti Documento: Risultati attività piano di rientro 2015 5/6

8. Gestione degli incidenti di sicurezza 9. BHW_Checklist_ISO27001_v1.0 10. BHW_Checklist_ISO27001_v2.0 11. Risk Assessment BHW v1.0 12. Risk Assessment BHW v2.0 13. Riesame analisi dei rischi Conclusioni IT Security: per garantire il rispetto della sicurezza delle informazioni e la loro corretta gestione (dal punto di vista del trattamento e della comunicazione), l organizzazione dovrebbe prevedere un piano di implementazione di quanto relaizzato, con l applicazione delle regole e dei controlli stabiliti (in particolare per i fornitori esterni), prevedendo inoltre specifiche sessioni di formazione e verifica per tutto il personale operativo nelle sedi di Bolzano e Verona. Sarebbe poi opportuno effettuare un attività di Risk Management al fine di tenere sotto controllo i rischi identificati e stabilendo delle regole per il trattamento dello stesso. Privacy: la gestione della privacy dovrebbe prevedere degli specifici controlli periodici ed assicurare in modo continuativo il rispetto delle leggi vigenti, Mantenendo sempre aggiornata la documentazione obbligatoria (lettere di incarico, informative e consensi) e verificando l applicazione di tutte le misure minime di sicurezza previste dal garante privacy. Documento: Risultati attività piano di rientro 2015 6/6

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back