Direzione SISTEMI Direttore PASCUZZI Classificazione PROPOSTA PROGETTO Art.15 c.5 CCNL 01/04/1999 Servizio Dirigente PASCUZZI Tipologia MIGLIORAMENTO Collegato a PROGRAMMA: 2014_PROGRAMMA_11RPP FIRENZE DIGITALE Performance ORGANIZZATIVA Descrizione dettagliata dell'obiettivo La certificazione di qualità secondo la norma UNI EN ISO 9001:2008 è un modo per qualificare le organizzazioni ormai riconosciuto a livello mondiale definendo i criteri fondamentali per implementare un sistema di gestione della qualità. Con questo tipo di certificazione agli utenti (i cittadini nel caso delle Amministrazioni Locali) viene garantito che l organizzazione certificata fornisca le proprie prestazioni nel rispetto di precisi standard qualitativi e nei tempi stabiliti. Per la Direzione Sistemi Informativi gli utenti sono rappresentati sia dai cittadini sia dagli oltre 4.500 dipendenti del Comune di Firenze ai quali vengono erogati una pluralità di servizi o fornite attività di supporto e di assistenza in ambito ICT (Information Communication Technology). Il percorso intrapreso dalla Direzione per la certificazione UNI EN ISO 9001:2008 (garanzia della qualità del servizio) si svilupperà interiormente con il conseguimento della certificazion (governo della sicurezza del sistema informativo). L attività della Direzione si uniforma a una stringente normativa di riferimento: il d.lgs. sulla privacy, n. 196/2003 (misure minime sulla sicurezza, che devono essere documentate anche dopo l abolizione dell obbligo di predisporre il cosiddetto DPS), il d.lgs. 82/2005, meglio noto come CAD, Codice dell Amministrazione Digitale (piani di continuità operativa e le relative Linee Guida per il Disaster Recovery delle PA, aggiornate a dicembre 2013 da parte dell Agenzia per l Italia Digitale - AgID); il d.lgs. 150/2009 (efficienza e trasparenza della P.A.). Obiettivo della Certificazione ISO 27001 è quello di proteggere i dati e le informazioni aziendali preservandone integrità, riservatezza e disponibilità. L integrazione delle attività relative al conseguimento della certificazione ISO 27001 con quelle relative alla normativa ISO 9001, garantisce una ulteriore maggiore sicurezza del sistema, in quanto la progettazione e la realizzazione del sistema informativo di qualità si realizza con tutte le necessarie garanzie di controllo. L'obiettivo pluriennale ha fatto si che nel 2014 sia stata conseguita, come previsto, la certificazione UNI EN ISO 9001:2008, e che siano state avviate le attività per il conseguimento anche della certificazion. Nel corso del 2015 è previsto che si sviluppi tutta l'attività di revisione ed aggiornamento della documentazione relativa alla certificazione UNI EN ISO 9001:2008 al fine dell'esito positivo della verifica da parte dell'organo esterno certificante e quindi della conferma della certificazione per l'anno 2015. Inoltre saranno completate le attività necessarie alla certificazione sulla sicurezza. L'obiettivo è legato ad un omonimo progetto speciale pluriennale.
Nota realizzazione obiettivo (Verifica finale) GANTT L'obiettivo per l'anno 2014, essendo progetto pluriennale che prosegue anche nel 2015, è stato portato a termine ed è in linea con le previsioni. Sensibilizzazione personale e creazione competenze team di progetto ISO 10,00 100,00 09/01/2014 06/03/2014 INNOCENTI 09/01/2014 06/03/2014
Mappatura dei processi, matrice di correlazione, indicatori 15,00 100,00 06/03/2014 26/03/2014 INNOCENTI 06/03/2014 26/03/2014 Procedure e registrazioni a supporto del SGQ 5,00 100,00 06/03/2014 02/05/2014 INNOCENTI 06/03/2014 02/05/2014 Politica per la qualità, Procedure di sistema e Manuale della Qualità 10,00 100,00 06/03/2014 02/05/2014 INNOCENTI 06/03/2014 02/05/2014 Formazione di auditor interni 5,00 100,00 05/05/2014 08/05/2014 INNOCENTI 05/05/2014 08/05/2014 Conduzione e report di audit interni 5,00 100,00 12/05/2014 22/05/2014 INNOCENTI 12/05/2014 22/05/2014 Certificazione ISO 9001 15,00 100,00 22/05/2014 29/05/2014 INNOCENTI 22/05/2014 29/05/2014 Sistemi e metodi esistenti per la sicurezza delle informazioni 5,00 100,00 01/06/2014 31/10/2014 PASCUZZI 01/06/2014 31/10/2014 ISO 27001:2013 Studio, analisi e definizione politica della sicurezza 5,00 75,00 15/07/2014 30/06/2015 PASCUZZI 15/07/2014 2015 in quanto negli ultimi mesi del 2014 è stato deciso di avviare il progetto di migrazione del datacenter al TIX che ha introdotto nuovi aspetti di complessità elevata che interessano di
ISO 27001:2013 Mappatura dei processi per la sicurezza 15,00 75,00 01/09/2014 30/06/2015 PASCUZZI 01/09/2014 ISO 27001:2013 Progettazione sistemi per la gestione della sicurezza 5,00 25,00 15/09/2014 31/10/2015 PASCUZZI 23/10/2014 2015 in quanto negli ultimi mesi del 2014 è stato deciso di avviare il progetto di migrazione del datacenter al TIX che ha introdotto nuovi aspetti di complessità elevata che interessano di 2015 in quanto dovrà adeguarsi e procedere contestualmente con quanto previsto nel nuovo progetto di migrazione al TIX. Saranno pertanto attività strettamente correlate
ISO 27001:2013 Implementazione procedure e soluzioni orientate a garantire la sicurezza del dato 5,00 25,00 01/09/2014 15/12/2015 PASCUZZI 23/10/2014 ISO9001:2008 Verifica e aggiornamento mappature processi 01/01/2015 30/06/2015 PASCUZZI 2015 in quanto dovrà adeguarsi e procedere contestualmente con quanto previsto nel nuovo progetto di migrazione al TIX. Saranno pertanto attività strettamente correlate ISO 9001:2008 Verifica documentazione 01/01/2015 30/06/2015 PASCUZZI ISO 27001:2013 Analisi dei rischi 01/01/2015 30/06/2015 PASCUZZI ISO 9001:2008 Revisione formale del SGQ 01/04/2015 11/05/2015 PASCUZZI ISO 9001:2008 Audit esterno per mantenimento certificazione 12/05/2015 PASCUZZI 12/05/2015 ISO 9001:2008 Audit interno 15/06/2015 25/06/2015 PASCUZZI ISO 27001:2013 Formazione personale e auditor interni 01/09/2015 15/09/2015 PASCUZZI ISO 27001:2013 Conduzione e report di audit interni 15/09/2015 30/09/2015 PASCUZZI
ISO 9001:2008 Audit interno 01/12/2015 15/12/2015 PASCUZZI ISO 9001:2008 Conferma certificazione SGQ 31/12/2015 PASCUZZI AUDIT ESTERNO FINALIZZATO AL CONSEGUIMENTO DELLA CERTIFICAZIONE 27001:2013 01/12/2015 31/12/2015 PASCUZZI INDICATORI Descrizione Tipo Valore Atteso Valore Raggiunto Conseguimento della certificazione di qualità ISO 9001:2008 entro il termine programmato Certificati entro il 30/05/2014 Certificati 29.5.14 Percentuale di personale formato auditor interno (entro il 31/12/2014) PERFORMANCE 10% 8/80 auditor formati Percentuale di audit realizzati internamente (entro il 31/12/2014) 50% 1 su 2 audit tenuti Mappatura dei processi della Direzione per il sistema di qualità (entro il 31/12/2014) 100% 100% Predisposizione documentazione e materiale per la certificazione ISO 27001:2006 entro il termine programmato Documenti predisposti entro 31/12/2014 docum. provvisoria Percentuale del personale formato in ambito sicurezza informatica al 31.12.2014 30% 45% ovvero 36/80 Tempi presa in carico richieste intervento al 31.12.2014 Tempi di risposta a richieste intervento (riscontro problema, tecnico ricontatta utente per dare supporto, invio di mail per richiesta chiarimenti, ) al 31.12.2014 Tempo di reazione a incidente di sicurezza al 31.12.2015 Mediamente 2 giorni lavorativi all 80% d Mediamente 3 giorni lavorativi all 80% d Mediamente 1 ora lavorativa Quota di server protetti da firewall locale al 31.12.2015 80% 72% Percentuale di questionari con valutazione positiva al 31 dicembre ogni anno 70% 74,42% Conferma certificazione di qualità entro il termine previsto(12/5/2015) 12/05/2015 Percentuale di audit interni realizzati rispetto ai totali (entro il 31/12/2015) 67% (2/3) Mappatura dei processi della DSI per il sistema della gestione per la sicurezza (entro il 30/06/2015) 100% 91% 96% n.p.
INDICATORI Descrizione Tipo Valore Atteso Valore Raggiunto Tempi presa in carico richieste intervento al 31/12/2015 Tempi della prima risposta a richieste intervento (riscontro problema, tecnico ricontatta utente per dare supporto, invio di mail per richiesta chiarimenti, ecc.) al 31/12/2015 3 giorni lavorativi per l'80% richieste 4 giorni lavorativi per l'80% richieste Tempo di reazione a un incidente di sicurezza al 31/12/2015 1 ora lavorativa Quota di server protetti da firewall locale al 31/12/2015 80% Percentuale di questionari con valutazione positiva* al 31/12/2015 70% Realizzazione audit con società esterna per ottenimento certificazione 27001:2013 31/12/2015