Il sistema integrato secondo la PAS 99

1

Sistemi di Gestione

IL SISTEMA INTEGRATO SECONDO LA NORMA

ISO PAS 99

Giulio Cantù 02/07/2015

Giulio Cantù-Vice presidente Comitato AICQ

Qualità del SW e Servizi IT

2

Giulio Cantù

Giulio Cantù 02/07/2015

studi: laurea ingegneria elettrotecnica esperienze: IBM 1966 -1973 Sistemista di filiale (da junior a specialista) IBM 1973-1987 Responsabile di settore (dirigente) della Direzione Sistemi Informativi: sviluppo applicazioni, pianificazione ICT ,metodologie (architetture, standard, qualità e sicurezza) IBM 1988-1994 Direttore progetti di consulenza

1995-oggi progetti di consulenza Progettazione e realizzazione Sistemi di Qualità Progettazione e Revisione Sistemi di Sicurezza Informatica Progettazione e realizzazione Sistemi di Service Management

3 Giulio Cantù

Sistema di gestione

Con il termine sistema di gestione si intende un

insieme di procedure, di sistemi informativi e

di sistemi informatici dedicati al governo di

un processo tipicamente operativo,

produttivo o amministrativo.

02/07/2015

4 Giulio Cantù

Esempi di Sistemi di gestione

I sistemi di gestione più conosciuti sono quelli

ISO (9001 Sistema per la gestione della

qualità, 27001 per la sicurezza delle

informazioni, 20000 per la gestione dei servizi

ecc.), ma vi sono anche sistemi di gestione

non codificati da norme ISO (es. gestione

della responsabilità amministrativa secondo

la legge 231, responsabilità sociale

d’impresa….).

02/07/2015

5 Giulio Cantù

In una azienda possono coesistere più

sistemi di gestione

Tipicamente si possono trovare coesistenti:

Sistema per la gestione della qualità

Sistema per la sicurezza informazioni

Sistema per la gestione dell’ambiente

………………………

02/07/2015

6 Giulio Cantù

La coesistenza non è sempre…pacifica

Duplicazione di procedure cosiddette

di sistema

Gestione documentazione

Sistemi di controllo (es. audit

interni, prestazioni dei processi..)

Gestione delle non conformità

……………………………

02/07/2015

7 Giulio Cantù

La coesistenza non è sempre…

pacifica

Duplicazione di procedure operative

Gestione risorse

Gestione incidenti

Gestione rischio

……………………………

02/07/2015

8 Giulio Cantù

La soluzione ?

Integrare i sistemi di gestione

02/07/2015

9 Giulio Cantù

Approcci per realizzare l’integrazione

Quanti sistemi integrare?

Fino a che punto è conveniente?

Quali processi/procedure minimi consolidare

per potere dichiarare che un sistema è

integrato?

02/07/2015

10 Giulio Cantù

BSI-PAS 99 Uno standard

che viene in aiuto

Lo standard a cui riferirsi è BSI-PAS 99

Specification of common management

system requirements as a framework

for integration

02/07/2015

11 Giulio Cantù

Uno standard che viene in aiuto

Lo standard PAS 99 dà

I requisiti minimi a cui debbono essere

conformi tutti i sistemi che appartengono al

sistema integrato

Criteri per realizzare la l’integrazione

02/07/2015

Giulio Cantù 12

4 Context of the organization

5 Leadership

6 Planning

7 Support

8 Operation

9 Performance evaluation

10 Improvement

Requisiti minimi per tutti i sistemi

02/07/2015

13 Giulio Cantù

Significato dei requisiti minimi

PAS 99

La norma PAS 99 è allineata con la direttiva

ISO HLS (High Level Standard) che rende

obbligatori i requisiti minimi citati.

02/07/2015

02/07/2015 Giulio Cantù 14

Significato dei requisiti

minimi PAS 99

La direttiva ISO su HLS richiede che tutte le

norme di nuova emissione siano conformi a

1. High level structure

2. Identical core text, common terms and core

definitions

15 Giulio Cantù

Norme già pubblicate conformi

ad HLS

ISO 22301 (2012) Societal security-Business

continuity management systems –Requirements

BSI-PAS 99 (2012) Specification of common

management system requirements as a

framework for integration

ISO/IEC 27001 (2013) Information– Security

Techiques-Information security management

systems-Requirements

02/07/2015

16 Giulio Cantù

Norme di prossima pubblicazione

conformi ad HLS

ISO 9001 –Quality

ISO 14001-Environment

02/07/2015

17 Giulio Cantù

Problemi più frequenti

Perimetro a cui si applicano i vari

sistemi di gestione

Qualità, Sicurezza e Ambiente hanno

spesso perimetri diversi

02/07/2015

18 Giulio Cantù

Decisioni strategiche

1) Limitarsi alla integrazione delle

procedure di ‘sistema’

(documentazione, audit, gestione non

conformità). Si rinuncia all’approccio

PAS 99

2) Decidere per l’integrazione ‘totale’

02/07/2015

19 Giulio Cantù

Integrazione totale

Documentare solo i requisiti comuni

con procedure ad alto livello

• Riferirsi ad un modello unico di

dettaglio dei processi aziendali

inserendovi i requisiti integrati dei vari

sistemi di gestione

02/07/2015

20 Giulio Cantù

Integrazione totale alto livello

Documentare solo i requisiti comuni con

procedure ad alto livello

02/07/2015

Policies e Manuali di sistema Procedure di sistema Procedure applicative

Procedure operative

21 Giulio Cantù

Integrazione totale dettaglio

Riferirsi ad un modello unico di dettaglio

dei processi aziendali inserendovi i

requisiti integrati dei vari sistemi di

gestione

02/07/2015

Policies e Manuali di sistema Procedure di sistema Procedure applicative

Procedure operative

22 Giulio Cantù

Procedure operative

Occorre uno schema di riferimento

= titolo delle procedure

Lo schema che si raccomanda è quello

che si basa su un modello dei processi

02/07/2015

23 Giulio Cantù

Procedure operative

Dove trovare il modello dei processi?

Norme/ Standard ISO

Best practices (es Cobit-ITIL )

02/07/2015

24 Giulio Cantù

Standard ISO

02/07/2015

Norma/standard Modello processi

ISO/IEC 12207:2008

Systems and software engineering --

Software life cycle processes

Sviluppo SW

ISO/IEC 20000-1

Information technology -- Service

management

Erogazione Servizi

Informatici

ISO/IEC 15504-5

Information technology -- Process

assessment-An exemplar SW life

Sviluppo SW

25 Giulio Cantù

Standard ISO

02/07/2015

Norma/standard Modello processi

ISO/IEC 15504-8

Information technology -- Process

assessment-An exemplar for IT

service management

Erogazione Servizi

Informatici

ISO 31000

Risk management -- Principles and

guidelines

Gestione Rischio

ISO/IEC 27005:2011

Information technology -- Security

techniques

Gestione Rischio

26 Giulio Cantù

Standard ISO

02/07/2015

Norma/standard Modello processi

ISO 22301

Societal security -- Business

continuity management systems

Continuità operativa

ISO/IEC 27031

Information technology -- Security

techniques -- Guidelines for

information and communication

technology readiness for business

continuity

Disaster recovery

27 Giulio Cantù 02/07/2015

DOMANDE ?

28 Giulio Cantù

Grazie per l’attenzione

Giulio Cantù

giuliocantu@libero.it

02/07/2015