Nuovo Standard ISO22301 per la gestione dellacontinuità operativa. Opportunità per le aziende:        business, dati e ser...
Prima dell’art.50 bisIniziative prevalentemente limitate alle organizzazioni piùcritiche e complesseIn molti casi attenzio...
Il Centro Unico di Back-up degli enti previdenziali e                                         assicurativi                ...
Evoluzione del Centro Unico di Back-up degli enti                      previdenziali e assicurativi                       ...
Nuovo Codice dell’Amministrazione Digitale   l’articolo 50-bis (Continuità operativa) Dlgs 30.12.2010, n.235 :1. In relazi...
Compiti delle pubbliche amministrazioni3. A tali fini, le pubbliche amministrazioni definiscono :    a) il piano di contin...
Compiti delle pubbliche amministrazioni4. I piani di cui al comma 3 sono adottati da ciascuna   amministrazione sulla base...
Nuovo Codice dell’Amministrazione Digitale:                         Il Ciclo della CO/DR   Fase Iniziale (o transitoria)  ...
Le Linee Guida      Le linee guida, approvate definitivamente dal Comitato Direttivo di    DigitPA, sono state emanate il ...
Il perimetro di applicazione della CO delle                                     pubbliche amministrazioniIl perimetro di a...
Le Linee Guida in sintesi9 Capitoli   Cap.3 – Standard per l’attuazione della CO   Cap.4 – Organizzazione delle strutture ...
Definizione di business continuity (BC) o continuità                          operativa (CO) in ambito BSI e DigitPA•   (D...
Definizione di disaster recovery (DR) in                                 ambito BSI e DigitPA•   (Da BS 25777) ICT disaste...
Esempio Corrispondenza                                   LG DigitPA e ISO/IEC 22301LG DigitPA                             ...
Le Linee Guida: Capitolo 5           La realizzazione della CO e delle soluzioni di DR                                    ...
CIRCOLARE                                                       1° dicembre 2011 , n. 58                                  ...
SFT: tipologie di amministrazioneComuniAziende sanitarie e ospedaliereUniversitàIstituti ScolasticiProvinceRegioniPACCamer...
Esempi di                                                 Esempi di            servizi per un                             ...
Esempi di servizi per una ASLEsenzioneContinuità Assistenziale (ex. guardia medica)VaccinazioniScelta e revocaServizio di ...
Esempi di servizi per una AOservizio di DEAservizio di Accettazione/Dismissione e Trasferimento ricoveri (ADT)servizio di ...
Esempi di servizi per una Provincia (classi di                      servizio)•   Affari Generali – Protocollo•   Affari Ge...
criticitàIndividuazione del responsabile della CORelazione sul CADCompetenze tecniche non sempre presenti, specialmente ne...
soluzioniSupporto DigitPA (linee guida, tool autovalutazione, schemaSFT, seminari e workshop)Supporto organismi di settore...
Esempi di soluzioniTier 1 per istituti scolastici con 1 server e 10 pdl, trasferimento settimanalesupporti dati in sede se...
DigitPA: Iniziative in corso e pianificateSviluppo di modelli di Studi di Fattibilita’ TecnicaTavolo Tecnico per i profili...
Tavolo tecnico con fornitori: lista servizi DRConsulenza per   Studio fattibilità tecnica (SFT)                           ...
L’importanza del 50-bis (e non solo): una                                           testimonianza“Le scrivo di nuovo in te...
Alessandroni Digit Pa 19 Giugno Bsi
Upcoming SlideShare
Loading in …5
×

Alessandroni Digit Pa 19 Giugno Bsi

319 views
271 views

Published on

Presentazione Convegno BSI 19.06.2012 su ISO22301

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
319
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Alessandroni Digit Pa 19 Giugno Bsi

  1. 1. Nuovo Standard ISO22301 per la gestione dellacontinuità operativa. Opportunità per le aziende: business, dati e servizi garantiti EVENTO BSI 19 giugno 2012 “Articolo 50-bis del CAD: la continuità operativa delle pubbliche amministrazioni” Alessandro Alessandroni progetto Continuità Operativa alessandroni@digitpa.gov.it 1
  2. 2. Prima dell’art.50 bisIniziative prevalentemente limitate alle organizzazioni piùcritiche e complesseIn molti casi attenzione soprattutto alle soluzioni tecniche2005 – istituzione del Centro di competenza sulla continuitàoperativa presso CNIPA)2006 Linee guida alla continuità operativa nella PA – QuadernoCNIPA n.282008 La Continuità operativa nella PA: Casi di studio –Quaderno n. 35 (MEF/Sogei, Min. P.I., Min. Trasporti, IstitutiPrevidenziali e assicurativi, CSI Piemonte) 2
  3. 3. Il Centro Unico di Back-up degli enti previdenziali e assicurativi 3
  4. 4. Evoluzione del Centro Unico di Back-up degli enti previdenziali e assicurativi 4
  5. 5. Nuovo Codice dell’Amministrazione Digitale l’articolo 50-bis (Continuità operativa) Dlgs 30.12.2010, n.235 :1. In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività.2. Il Ministro per la pubblica amministrazione e l’innovazione assicura l’omogeneità delle soluzioni di continuità operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento. 5
  6. 6. Compiti delle pubbliche amministrazioni3. A tali fini, le pubbliche amministrazioni definiscono : a) il piano di continuità operativa: fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale; b) il piano di disaster recovery: stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione. 6
  7. 7. Compiti delle pubbliche amministrazioni4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilità tecnica; su tali studi è obbligatoriamente acquisito il parere di DigitPA. 7
  8. 8. Nuovo Codice dell’Amministrazione Digitale: Il Ciclo della CO/DR Fase Iniziale (o transitoria) PP.AA.: Implementano le soluzioni e predi-spongono i piani di CO e di DR sulla base dello SFT e del parere di DigitPA; Verificano con cadenza biennale la funzionalitàDigitPA: Emette le Linee Guida (LG) del Piano di CO ; Garantiscono la manutenzione della soluzione e informando DigitPA Inviano a DigitPA annualmente l’aggiornamento del piano di DR PP.AA. : Predispongono e sottopongono al parere di DigitPA studi di fattibilità tecnica (SFT), DigitPA: verifica annualmente i’aggiornamento dei piani di DR DigitPA: emette pareri su SFT Il Ministro assicura l’omogeneità delle soluzioni informando con cadenza annuale il Parlamento Fase Implementativa (o a regime) 8
  9. 9. Le Linee Guida Le linee guida, approvate definitivamente dal Comitato Direttivo di DigitPA, sono state emanate il 28 nov 2011 Le linee guida sono disponibili nel sito DigitPA ancorché l’art. 50-bis preveda la produzione, a cura di DigitPA, delle “linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni”, di cui questo documento è l’attuazione, i contenuti del documento sono stati estesi anche a: - indicazioni nel merito dei contenuti e della produzione del piano di continuità operativa; Aspetti organizzativi indicazioni e schemi di massima dello studio di fattibilità tecnica,per fornire alle Amministrazioni gli elementi necessari al completo adempimento ai dispositivi dell’articolo. 9
  10. 10. Il perimetro di applicazione della CO delle pubbliche amministrazioniIl perimetro di applicazione della continuità operativa ICT deve comprendere almeno: 1. le applicazioni informatiche e i dati del sistema informativo indispensabili all’erogazione dei servizi e allo svolgimento delle attività (informatiche e non); 2. le infrastrutture fisiche e logiche che ospitano sistemi di elaborazione; 3. i dispositivi di elaborazione hw e sw che permettono la funzionalità delle applicazioni realizzanti i servizi dell’amministrazione; 4. le componenti di connettività locale e/o remota/geografica; 5. ciò che serve per consentire lo svolgimento delle attività del personale informatico, sia interno all’amministrazione, sia, se presente, esterno, ma correlato al sistema informativo stesso; 6. le modalità di comunicazione ed informazione al personale utilizzatore del sistema informativo all’interno dell’amministrazione e ai fruitori esterni dei servizi del sistema informativo dell’amministrazione, siano essi cittadini, imprese, altre amministrazioni; 7. le misure per garantire la disponibilità dei sistemi di continuità elettrica (UPS e gruppi elettrogeni) e più in generale la continuità di funzionamento del sistema informativo; 8. la gestione dei posti di lavoro informatizzati dell’amministrazione; 10 9. i servizi previsti per l’attuazione del C.A.D. (fra cui ad es. la PEC; la firma Digitale
  11. 11. Le Linee Guida in sintesi9 Capitoli Cap.3 – Standard per l’attuazione della CO Cap.4 – Organizzazione delle strutture di gestione della CO Cap.5 – La realizzazione della CO e delle soluzioni di DR Cap.6 – Strumenti giuridici e operativi per l’acquisizione di servizi di DR Cap.7 – SFT, Piani di CO e Piani di DR5 Appendici1 Breve guida alla lettura (percorsominimo di lettura e glossario) 11
  12. 12. Definizione di business continuity (BC) o continuità operativa (CO) in ambito BSI e DigitPA• (Da BS 25999-2:2007) Business Continuity (BC): strategic and tactical capability of the organization to plan for and respond to incidents and business disruptions in order to continue business operations at an acceptable predefined level• (Da “Linee Guida per il DR delle PA”, DigitPA 2011)Continuità Operativa: l’insieme delle attività e delle politiche adottate per ottemperare all’obbligo di assicurare la continuità nel funzionamento dell’organizzazione; è parte integrante dei processi e delle politiche di sicurezza di un’organizzazione;Continuità operativa ICT : la capacità di un organizzazione di adottare, attraverso accorgimenti, procedure e soluzioni tecnico-organizzative, misure di reazione e risposta ad eventi imprevisti che possono compromettere, anche parzialmente, all’interno o all’esterno dell’organizzazione, il normale funzionamento dei servizi ICT utilizzati per lo svolgimento delle funzioni istituzionali; 12
  13. 13. Definizione di disaster recovery (DR) in ambito BSI e DigitPA• (Da BS 25777) ICT disaster recovery: activities and programmes that are invoked in response to a disruption and are intended to restore an organization’s ICT services• (Da “Linee Guida per il DR delle PA”, DigitPA 2011) Disaster recovery (DR): nell’ambito dell’art. 50 bis del CAD, l’insieme delle misure tecniche e organizzative adottate per assicurare all’organizzazione il funzionamento del centro elaborazione dati e delle procedure e applicazioni informatiche dell’organizzazione stessa, in siti alternativi a quelli primari/di produzione, a fronte di eventi che provochino, o possano provocare, indisponibilità prolungate 13
  14. 14. Esempio Corrispondenza LG DigitPA e ISO/IEC 22301LG DigitPA ISO 223014.1 - Coinvolgimento dei vertici 5.1 - Leadership and commitmentdell’amministrazione e ruolo della struttura digestione4.4 - Criteri e Indicazioni Organizzative 5.4 - Organizational roles, responsibilities and authorities5.2-5.4 Strumenti per l’autovalutazione 8.2.2 – BIAAPPENDICE A: LA BUSINESS IMPACTANALYSIS (BIA)4.2 - Il Comitato di gestione della crisi 8.4.2 - Incident response structure4.7 - Indicazioni per il collaudo e per i test 8.5 – exercising and testing4.8 - Indicazioni per Il Piano di Continuità 8.4.4 Business continuity plansOperativa7.2 Il Piano di Continuità Operativa4.9 Indicazioni per la gestione e la manutenzione 10.1 Nonconformity and corrective actiondella soluzione di CO/DR e del Piano di CO/DR 14
  15. 15. Le Linee Guida: Capitolo 5 La realizzazione della CO e delle soluzioni di DR Bassa Media Alta Critica Tier 1 Network Tier 2 Tier 3 Tier 4Tier 3: soluzione simile a quella di Tier 5Tier 2 ma il trasferimento dei dati trail sito primario e quello di DR Tier 6avviene attraverso un collegamentodi rete tra i due siti. CRITICITÀ 15
  16. 16. CIRCOLARE 1° dicembre 2011 , n. 58 (G.U. 27-12-2011 n. 300)Attività di DigitPA e delle Amministrazioni ai fini dell’attuazione degliadempimenti previsti dall’articolo 50 -bis (Continuità Operativa) del«Codice dell’Amministrazione Digitale» (D.lgs. n. 82/2005 così comemodificato dal D.lgs. 235La prima parte: informazioni che le Amministrazioni devono inviare aDigitPA ai fini del rilascio del parere sugli Studi di Fattibilita’ Tecnica (SFT)e le modalità di presentazione delle richieste come previsto dal comma 4,art. 50 bis del CAD.La seconda parte: informazioni che le Amministrazioni devono inviare aDigitPA ai fini dell’attivita’ di verifica del costante aggiornamento dei Pianidi Disaster Recovery (DR), previste dal comma 3, lettera b), art. 50 bis,del CAD./2010). 16
  17. 17. SFT: tipologie di amministrazioneComuniAziende sanitarie e ospedaliereUniversitàIstituti ScolasticiProvinceRegioniPACCamere di Commercio 17
  18. 18. Esempi di Esempi di servizi per un servizi per una Comune Universita’• Gestione atti amministrativi (determine, delibere) Consultazione online presenze personale tecnico-• Gestione Bilancio amministrativo di Ateneo• Gestione Economato (inventario, buoni Controllo di gestione economali) Customer satisfaction• Gestione Edilizia Digital signage• Gestione Patrimonio Gestione statistiche• Gestione Sanzioni, Incidenti, Turni di servizio Portale assistenza rete e servizi di rete• Gestione Protocollo Portale di cambio password• Gestione Servizi Sociali Portale Spin-Off• Gestione SIT (cartografia, civici e toponomastica) Produzione Badge• Gestione sito web Affidamenti incarichi attività didattiche• Gestione Stipendi Albo online• Gestione SUAP Consultazione OPAC SBN• Gestione Personale (giuridico, presenze) Contabilità integrata di Ateneo• Servizi Demografici (anagrafe, CIE, stato civile, Dematerializzazione procedimenti amministrativi elettorale) Firma digitale remota docenti• ……………. Gestione giuridico-economica del personale Gestione prove di selezione accesso programmato Gestione studenti 18 ………….
  19. 19. Esempi di servizi per una ASLEsenzioneContinuità Assistenziale (ex. guardia medica)VaccinazioniScelta e revocaServizio di Prevenzione e ProtezioneLaboratorio di analisiImpiantistica e sicurezza sul lavoroPatologie cronico degenerative e tumoraliMedicina legaleProtesicaConsultoriSERTStrutture sanitarie accreditateSanità animaleServizio igiene degli allevamenti e delle produzioni zootecnicheGestione amministrativo-contabileLogistica e Supply ChainGestione asset aziendaliGestione delle risorse umaneServizi direzionaliCUP diretto e/o centralizzato 19Esposizione referti su FSE
  20. 20. Esempi di servizi per una AOservizio di DEAservizio di Accettazione/Dismissione e Trasferimento ricoveri (ADT)servizio di gestione della Cartella Clinica di ricoveroservizio di gestione sale operatorieservizio di gestione delle terapie intensiveservizio di gestione ambulatori e casseservizio di gestione dei Laboratori Analisiservizio di gestione della Radiodiagnostica (Radiologia e Medicina Nucleare)servizio di gestione di Anatomia Patologicaservizio Centro Trasfusionale (SIMT)servizio di gestione delle Prenotazioni ambulatoriali (CUP provinciale)servizio di gestione del Protocollo e Delibereportale Internetportale Intranetposta Elettronicaservizio amministrativo contabile e controllo di gestioneservizio gestione Risorse Umaneservizio di gestione di Prevenzione e Sicurezza sul Lavoro 20
  21. 21. Esempi di servizi per una Provincia (classi di servizio)• Affari Generali – Protocollo• Affari Generali - Ufficio Giunta/Ufficio Consiglio/Gestione atti/Società Partecipate• Personale - Gestione Economica del Personale• Personale - Rilevazione presenze• Gestione Economica dellEnte - Programmazione Finanziaria• Gestione Economica dellEnte - Gestione ordinativi e pagamenti• Gestione Economica dellEnte - Controllo di Gestione• Gestione Economale - Gestione Economato, Ordini e Magazzino• Sistema bibliotecario della Provincia• Settore Lavoro - Portale Sintesi• Gestione Sanzioni Polizia Provinciale• Rilascio licenze di Pesca• Gestione venatoria• Servizio zootecnia, agricolo e dellalimentazione• Albo Pretorio• Siti Istituzionali• Anagrafe Estesa Sovracomunale• Sistema Informativo Territoriale• Servizi provinciali e-gov 21
  22. 22. criticitàIndividuazione del responsabile della CORelazione sul CADCompetenze tecniche non sempre presenti, specialmente nelleamministrazioni di piccole dimensioniVincoli di budgetArmonizzazione delle liste dei servizi e delle valutazioni di criticità perstessa tipologia di amministrazioneIn molti casi necessità di interventi di razionalizzazione sui siti primari(consolidamento, virtualizzazione,…) prima di adottare soluzioni di DRRischio di moltiplicazione dei data center in assenza di soluzioni 22condivise
  23. 23. soluzioniSupporto DigitPA (linee guida, tool autovalutazione, schemaSFT, seminari e workshop)Supporto organismi di settore ANCI/Ancitel, CISIS, IT4U, perarmonizzare valutazioni servizi criticiRicerca soluzioni DR condivise tra più amministrazioni tramite: Centri Servizi Territoriali, società in house regionali, consorzi interuniversitari .......................................Ricorso al mercato per consulenza e servizi di DRVirtualizzazione e cloud? 23
  24. 24. Esempi di soluzioniTier 1 per istituti scolastici con 1 server e 10 pdl, trasferimento settimanalesupporti dati in sede secondaria o di altro istituto e accordo con fornitore perinstallazione server in caso emergenzaSoluzione tier 4 tra due sedi della stessa amministrazione (piccolo o mediocomune) con piattaforme virtualizateSoluzione di BC a livello di campus per Università o azienda ospedaliera e sitoper DR geografico presso fornitore esterno (eventuale società regionale oconsorzio) o altra amministrazione (mutuo soccorso)Grande comune o regione: gara per fornitore sito e servizi di DR (a volte inclusiservizi di connettività) con Tier differenziatiAmministrazioni centrali in full outsourcing hanno rivisto le criticità dei servizi,rinegoziato i requisiti di DR e integrato i propri piani e le strutture organizzativedi CO e DR con quelle dei fornitori 24
  25. 25. DigitPA: Iniziative in corso e pianificateSviluppo di modelli di Studi di Fattibilita’ TecnicaTavolo Tecnico per i profili di servizio essenziali e deiloro livelli minimi per le soluzioni di disaster recoveryAttivita’ di monitoraggio delle infrastrutture della PA aifini di una razionalizzazione dei servizi di CO/DR 25
  26. 26. Tavolo tecnico con fornitori: lista servizi DRConsulenza per Studio fattibilità tecnica (SFT) BS25999 –ISO/IEC22301 BIA e RA ISO/IEC 27001 Progettazione soluzione DR Realizzazione soluzione DR Predisposizione/manutenzione piani CO e DR Servizi di auditing di soluzioni di DRDisponibilità, gestione e manutenzione: Siti DR (+ connettività) ANSI/TIA-942 Risorse Hw + sw per DR ISO/IEC 24762 Postazioni di lavoro per DRServizi dati: Trasporto e conservazione supporti dati presso sito DR Servizi di storage on-line 26
  27. 27. L’importanza del 50-bis (e non solo): una testimonianza“Le scrivo di nuovo in tema di disaster recovery visto che in questi ultimi 20 giorniqui a Ferrare abbiamo sperimentato il terremoto. In particolare io abito a SantAgostino, e per il momento vivo in un camper perchésono fortunata. Il comune interno non è più agibile e la Provincia di Ferrara mi ha dislocato alavorare per il periodo dellemergenza immediata nel Centro Operativo Comunale diSantAgostino.Alla luce di questo ho capito molto bene limportanza del disaster recovery.Nel nostro caso tutti gli archivi cartacei, tutti i dati, tutta la struttura è rimasta dentroal comune che questa settimana dovrà implodere portandosi dietro tutta laconoscenza dellufficio tecnico e degli altri suoi servizi. I cittadini chiedono la documentazione per sapere come sono fatte le loro case percercare di non perderle alla prossima scossa ma noi non possiamo rispondere,abbiamo tutto in comune. Siamo (credo dignitosamente) ripartiti individuando la scuola elementare comesede, ci manca tutto dalle graffette ai pc e dopo aver recuperato un back up lefunzioni anagrafe, contabilità, sito e posta sono ripartite....abbiamo toccato con mano che la domanda del cittadino, in caso di disastro,cambia molto....”

×