Il sistema integrato secondo la PAS 99
-
Upload
aicq-comitato-qualita-del-software-e-servizi-ict -
Category
Software
-
view
25 -
download
2
Transcript of Il sistema integrato secondo la PAS 99
1
Sistemi di Gestione
IL SISTEMA INTEGRATO SECONDO LA NORMA
ISO PAS 99
Giulio Cantù 02/07/2015
Giulio Cantù-Vice presidente Comitato AICQ
Qualità del SW e Servizi IT
2
Giulio Cantù
Giulio Cantù 02/07/2015
studi: laurea ingegneria elettrotecnica esperienze: IBM 1966 -1973 Sistemista di filiale (da junior a specialista) IBM 1973-1987 Responsabile di settore (dirigente) della Direzione Sistemi Informativi: sviluppo applicazioni, pianificazione ICT ,metodologie (architetture, standard, qualità e sicurezza) IBM 1988-1994 Direttore progetti di consulenza
1995-oggi progetti di consulenza Progettazione e realizzazione Sistemi di Qualità Progettazione e Revisione Sistemi di Sicurezza Informatica Progettazione e realizzazione Sistemi di Service Management
3 Giulio Cantù
Sistema di gestione
Con il termine sistema di gestione si intende un
insieme di procedure, di sistemi informativi e
di sistemi informatici dedicati al governo di
un processo tipicamente operativo,
produttivo o amministrativo.
02/07/2015
4 Giulio Cantù
Esempi di Sistemi di gestione
I sistemi di gestione più conosciuti sono quelli
ISO (9001 Sistema per la gestione della
qualità, 27001 per la sicurezza delle
informazioni, 20000 per la gestione dei servizi
ecc.), ma vi sono anche sistemi di gestione
non codificati da norme ISO (es. gestione
della responsabilità amministrativa secondo
la legge 231, responsabilità sociale
d’impresa….).
02/07/2015
5 Giulio Cantù
In una azienda possono coesistere più
sistemi di gestione
Tipicamente si possono trovare coesistenti:
Sistema per la gestione della qualità
Sistema per la sicurezza informazioni
Sistema per la gestione dell’ambiente
………………………
02/07/2015
6 Giulio Cantù
La coesistenza non è sempre…pacifica
Duplicazione di procedure cosiddette
di sistema
Gestione documentazione
Sistemi di controllo (es. audit
interni, prestazioni dei processi..)
Gestione delle non conformità
……………………………
02/07/2015
7 Giulio Cantù
La coesistenza non è sempre…
pacifica
Duplicazione di procedure operative
Gestione risorse
Gestione incidenti
Gestione rischio
……………………………
02/07/2015
8 Giulio Cantù
La soluzione ?
Integrare i sistemi di gestione
02/07/2015
9 Giulio Cantù
Approcci per realizzare l’integrazione
Quanti sistemi integrare?
Fino a che punto è conveniente?
Quali processi/procedure minimi consolidare
per potere dichiarare che un sistema è
integrato?
02/07/2015
10 Giulio Cantù
BSI-PAS 99 Uno standard
che viene in aiuto
Lo standard a cui riferirsi è BSI-PAS 99
Specification of common management
system requirements as a framework
for integration
02/07/2015
11 Giulio Cantù
Uno standard che viene in aiuto
Lo standard PAS 99 dà
I requisiti minimi a cui debbono essere
conformi tutti i sistemi che appartengono al
sistema integrato
Criteri per realizzare la l’integrazione
02/07/2015
Giulio Cantù 12
4 Context of the organization
5 Leadership
6 Planning
7 Support
8 Operation
9 Performance evaluation
10 Improvement
Requisiti minimi per tutti i sistemi
02/07/2015
13 Giulio Cantù
Significato dei requisiti minimi
PAS 99
La norma PAS 99 è allineata con la direttiva
ISO HLS (High Level Standard) che rende
obbligatori i requisiti minimi citati.
02/07/2015
02/07/2015 Giulio Cantù 14
Significato dei requisiti
minimi PAS 99
La direttiva ISO su HLS richiede che tutte le
norme di nuova emissione siano conformi a
1. High level structure
2. Identical core text, common terms and core
definitions
15 Giulio Cantù
Norme già pubblicate conformi
ad HLS
ISO 22301 (2012) Societal security-Business
continuity management systems –Requirements
BSI-PAS 99 (2012) Specification of common
management system requirements as a
framework for integration
ISO/IEC 27001 (2013) Information– Security
Techiques-Information security management
systems-Requirements
02/07/2015
16 Giulio Cantù
Norme di prossima pubblicazione
conformi ad HLS
ISO 9001 –Quality
ISO 14001-Environment
02/07/2015
17 Giulio Cantù
Problemi più frequenti
Perimetro a cui si applicano i vari
sistemi di gestione
Qualità, Sicurezza e Ambiente hanno
spesso perimetri diversi
02/07/2015
18 Giulio Cantù
Decisioni strategiche
1) Limitarsi alla integrazione delle
procedure di ‘sistema’
(documentazione, audit, gestione non
conformità). Si rinuncia all’approccio
PAS 99
2) Decidere per l’integrazione ‘totale’
02/07/2015
19 Giulio Cantù
Integrazione totale
Documentare solo i requisiti comuni
con procedure ad alto livello
• Riferirsi ad un modello unico di
dettaglio dei processi aziendali
inserendovi i requisiti integrati dei vari
sistemi di gestione
02/07/2015
20 Giulio Cantù
Integrazione totale alto livello
Documentare solo i requisiti comuni con
procedure ad alto livello
02/07/2015
Policies e Manuali di sistema Procedure di sistema Procedure applicative
Procedure operative
21 Giulio Cantù
Integrazione totale dettaglio
Riferirsi ad un modello unico di dettaglio
dei processi aziendali inserendovi i
requisiti integrati dei vari sistemi di
gestione
02/07/2015
Policies e Manuali di sistema Procedure di sistema Procedure applicative
Procedure operative
22 Giulio Cantù
Procedure operative
Occorre uno schema di riferimento
= titolo delle procedure
Lo schema che si raccomanda è quello
che si basa su un modello dei processi
02/07/2015
23 Giulio Cantù
Procedure operative
Dove trovare il modello dei processi?
Norme/ Standard ISO
Best practices (es Cobit-ITIL )
02/07/2015
24 Giulio Cantù
Standard ISO
02/07/2015
Norma/standard Modello processi
ISO/IEC 12207:2008
Systems and software engineering --
Software life cycle processes
Sviluppo SW
ISO/IEC 20000-1
Information technology -- Service
management
Erogazione Servizi
Informatici
ISO/IEC 15504-5
Information technology -- Process
assessment-An exemplar SW life
Sviluppo SW
25 Giulio Cantù
Standard ISO
02/07/2015
Norma/standard Modello processi
ISO/IEC 15504-8
Information technology -- Process
assessment-An exemplar for IT
service management
Erogazione Servizi
Informatici
ISO 31000
Risk management -- Principles and
guidelines
Gestione Rischio
ISO/IEC 27005:2011
Information technology -- Security
techniques
Gestione Rischio
26 Giulio Cantù
Standard ISO
02/07/2015
Norma/standard Modello processi
ISO 22301
Societal security -- Business
continuity management systems
Continuità operativa
ISO/IEC 27031
Information technology -- Security
techniques -- Guidelines for
information and communication
technology readiness for business
continuity
Disaster recovery
27 Giulio Cantù 02/07/2015
DOMANDE ?