MODULO 1

UNI EN ISO 9001:2015 Sistemi di gestione per la qualità – Requisiti

Obiettivo del modulo: Fornire le conoscenze teoriche ed operative per eseguire la valutazione della corretta applicazione e dell’efficacia di un Sistema di Gestione per la Qualità a norma ISO 9001:2015. Identificare e attuare efficacemente i controlli della Sicurezza delle Informazioni, per clienti e fornitori di servizi in cloud; Identificare e attuare efficacemente i controlli per la Protezione dei Dati Personali, per i Responsabili del trattamento che offrono servizi in cloud.

UNI EN ISO 9001:2015 Sistemi di gestione per la qualità – Requisiti

La norma europea (o standard) ISO 9001:2015 specifica i requisiti di un sistema di gestione per la qualità (SGQ) quando un’organizzazione:

  1. a) ha l’esigenza di dimostrare la propria capacità di fornire con regolarità prodotti o servizi che soddisfano i requisiti del cliente e i requisiti cogenti applicabili; e
  2. b) mira ad accrescere la soddisfazione del cliente tramite l’applicazione efficace del sistema, compresi i processi per migliorare il sistema stesso e assicurare la conformità ai requisiti del cliente e ai requisiti cogenti applicabili.

Tutti i requisiti sono di carattere generale e previsti per essere applicabili a tutte le organizzazioni, indipendentemente da tipo o dimensione, o dai prodotti forniti e servizi erogati.

Argomenti principali:

  • La Norma UNI EN ISO 9001:2015: gli elementi per la valutazione della conformità
  • La “High Level Structure” stabilita da ISO per l’esposizione dei requisiti di norma, e le relazioni con altri Sistemi di Gestione
  • Norma ISO 9000:2015 e Principi dei Sistemi di Gestione per la Qualità
  • PDCA, Approccio per processi e Risk Base Thinking
  • Campo di applicazione e applicabilità dei requisiti della Norma.
  • Requisiti della Norma ISO 9001:2015 nei processi di Audit
  • Il ruolo delle informazioni documentate nei Sistemi di Gestione per la Qualità

Il SGQ comprende le attività mediante le quali l’organizzazione identifica i propri obiettivi e determina i processi e le risorse richiesti per conseguire i risultati desiderati. Il SGQ gestisce i processi interagenti e le risorse richieste per fornire valore e realizzare risultati per le parti interessate rilevanti. Il SGQ permette all’alta direzione di ottimizzare l’utilizzo delle risorse considerando le conseguenze di lungo e breve termine. Il SGQ fornisce i mezzi per identificare le azioni per affrontare le conseguenze attese ed inattese inerenti la fornitura di prodotti e l’erogazione di servizi.

Durata:

3 lezioni frontali da 4 ore cadauna

Laboratorio:

3 lezioni frontali da 4 ore cadauna

Tutor:

Vittorio Ghibaudo

MODULO 2

UNI CEI EN ISO/IEC 27001:2017 – Tecnologie informatiche – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti

ISO/IEC 27017:2015 – Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services

ISO/IEC 27018:2019 Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

Obiettivo del modulo: Fornire le conoscenze teoriche ed operative per eseguire la valutazione della corretta applicazione e dell’efficacia di un Sistema di Gestione per la Sicurezza delle informazioni norma ISO/IEC 27001:2017 eventualmente esteso alle linee guida ISO/IEC 27017:2015 e ISO/IEC 27018:2019.

UNI CEI EN ISO/IEC 27001:2017 – Tecnologie informatiche – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti

ISO/IEC 27017:2015 – Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services

ISO/IEC 27018:2019 Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

La norma europea (o standard) ISO/IEC 27001:2017 specifica i requisiti per stabilire, attuare, mantenere e migliorare continuamente un sistema di gestione per la sicurezza delle informazioni (SGSI) nel contesto dell’organizzazione. Inoltre, essa include i requisiti per la valutazione e il trattamento dei rischi per la sicurezza dell’informazione adatti alle esigenze dell’organizzazione. I requisiti presenti nella norma sono generici e destinati ad essere applicati a tutte le organizzazioni, indipendentemente dal tipo, dalla dimensione o dalla loro natura. La linea guida ISO/IEC 27017:2015 definisce controlli avanzati sia per fornitori, sia per i clienti di servizi cloud. Chiarisce ruoli e responsabilità dei diversi attori in ambito cloud con l’obiettivo di garantire che i dati conservati in cloud computing siano sicuri e protetti. La linea guida fornisce una modalità strutturata, basata sul privacy by design, per far fronte alle principali questioni giuridiche, sia di natura legale che contrattuale, legate alla gestione dei dati personali in infrastrutture informatiche distribuite seguendo il modello del cloud pubblico.

Argomenti principali:

  • Introduzione alla sicurezza delle informazioni;
  • Termini e principi della sicurezza delle informazioni definiti nella ISO/IEC 27000;
  • Campo di applicazione e applicabilità dei requisiti della Norma;
  • Requisiti della Norma ISO/IEC 27001 nei processi di Audit;
  • Il ruolo delle informazioni documentate nei Sistemi di Gestione per la sicurezza delle informazioni;
  • Metodi per la valutazione e gestione dei rischi per la sicurezza delle informazioni;
  • Criteri per la scelta dei controlli adottabili per la sicurezza delle informazioni;
  • Definizione e caratteristiche dei servizi in cloud;
  • Le circolari AGID ed i requisiti per i fornitori di servizi in cloud alla PA;
  • I controlli integrativi per i clienti ed i fornitori di servizi in cloud secondo la ISO / IEC 27017;
  • I controlli per i Responsabili del trattamento fornitori di servizi in cloud secondo la ISO / IEC 27018.

Un SGSI è costituito da politiche, procedure, linee guida e risorse e attività associate, gestiti collettivamente da un’organizzazione, nel perseguimento della protezione del proprio patrimonio informativo. Un SGSI è un approccio sistematico per stabilire, attuare, operare, monitorare, rivedere, mantenere e migliorare la sicurezza delle informazioni di un’organizzazione per raggiungere gli obiettivi di business. Si basa sulla valutazione del rischio e livelli di accettazione del rischio dell’organizzazione progettati per trattare e gestire efficacemente rischi. Analizzare i requisiti per la protezione del patrimonio informativo e applicare gli opportuni controlli per garantire la protezione di queste risorse informative, come richiesto, contribuisce al successo implementazione di un SGSI.

Durata:

3 lezioni frontali da 4 ore cadauna

Laboratorio:

3 lezioni frontali da 4 ore cadauna

Tutor:

Vittorio Ghibaudo

MODULO 3

UNI CEI EN ISO/IEC 27002 :2017 – Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni

ISO/IEC 27005:2018 – Information technology — Security techniques — Information security risk management

Obiettivo del modulo: Fornire le conoscenze teoriche ed operative per scegliere, attuare e gestire i controlli dell’Annex A della norma ISO/IEC 27001:2017, tenendo in considerazione il contesto di rischio relativo alla sicurezza delle informazioni dell’organizzazione. Fornire un quadro di riferimento per la definizione di un’efficace metodologia di valutazione dei rischi nell’ambito della Sicurezza delle Informazioni secondo le linee guida ISO / IEC 27005. Impiegare un approccio soddisfacente nella gestione dei rischi applicando le prassi per i controlli suggerite nelle linee guida ISO / IEC 27002.

UNI CEI EN ISO/IEC 27002 :2017 – Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni

ISO/IEC 27005:2018 – Information technology — Security techniques — Information security risk management

La norma internazionale ISO/IEC 27002:2017 è progettata per essere impiegata dalle organizzazioni come riferimento per la scelta dei controlli nel processo di attuazione di un sistema di gestione per la sicurezza delle informazioni (SGSI) basato sulla ISO/IEC 27001:2017, oppure come documento guida per le organizzazioni che attuano i controlli comunemente riconosciuti per la sicurezza delle informazioni. La norma ISO/IEC 27002:2017 è anche pensata per essere impiegata nello sviluppo di linee guida relative alla sicurezza delle informazioni per interi settori o per specifiche organizzazioni, considerando il loro particolare contesto di rischio relativo alla sicurezza delle informazioni. Organizzazioni di qualsiasi tipo e dimensione (inclusi i settori pubblico e privato nonché i soggetti con e senza fini di lucro) raccolgono, elaborano, archiviano e trasmettono informazioni in molteplici forme, incluse quelle elettroniche, fisiche e verbali (per esempio conversazioni e presentazioni).

I controlli possono essere scelti dalla presente norma o da un altro insieme di controlli oppure si possono progettare dei nuovi controlli per soddisfare eventuali necessità specifiche in modo appropriato. La scelta di controlli dipende da decisioni dell’organizzazione basate sui criteri per l’accettazione del rischio, sulle opzioni per il trattamento del rischio e sull’approccio generale alla gestione del rischio applicato all’organizzazione stessa. Questa scelta dovrebbe anche tenere in considerazione la legislazione vigente e i regolamenti applicabili, di origine nazionale e internazionale. La scelta dei controlli dipende inoltre dal modo in cui essi interagiscono tra loro per fornire una difesa in profondità. Alcuni dei controlli nella norma ISO/IEC 27002:2017 possono essere considerati come principi guida per la gestione della sicurezza delle informazioni ed essere applicabili alla maggior parte delle organizzazioni. I controlli sono illustrati in maggiore dettaglio di seguito, assieme a linee guida per l’attuazione. Informazioni aggiuntive sulla scelta dei controlli e su altre opzioni di trattamento del rischio possono essere reperite all’interno della ISO/IEC 27005:2018 che rappresenta la linea guida per la valutazione del rischio relativo alla sicurezza delle informazioni.

Argomenti principali:

  • Analisi della ISO/IEC 27001 e delle relazioni con la linea guida ISO/IEC 27002
  • Come scegliere i controlli nel processo di attuazione di un sistema di gestione per la sicurezza delle informazioni basato sulla ISO/IEC 27001;
  • Come attuare controlli per la sicurezza delle informazioni comunemente riconosciuti;
  • Come sviluppare le proprie linee guida per la gestione della sicurezza delle informazioni;
  • Introduzione alle tecniche di identificazione, analisi e ponderazione dei rischi;
  • Valutazione dei possibili impatti sulle informazioni e sui beni dell’organizzazione;
  • Le minacce accidentali, ambientali e deliberate, incluse le tecniche di social engineering;
  • Le vulnerabilità della Sicurezza delle Informazioni;
  • Valutazione della verosimiglianza di accadimento per eventi e incidenti legati alla Sicurezza delle Informazioni;
  • Ponderazione e trattamento dei rischi.

Durata:

3 lezioni frontali da 4 ore cadauna

Laboratorio:

3 lezioni frontali da 4 ore cadauna

Tutor:

Vittorio Ghibaudo

MODULO 4

ISO/IEC 20000-1:2018 – Information technology – Service management – Part 1: Service management system requirements

ISO/IEC 20000-2:2019 – Information technology – Service management – Guidance on the application of service management systems.

ISO/IEC 20000-3- Information technology -Service management – Guidance on the scope definition and application of ISO/IEC 20000-1

Obiettivo del modulo: Fornire un’analisi dettagliata dello standard ISO/IEC 20000-1:2018 nel contesto dei processi di Service Management. Fornire esempi e raccomandazioni per consentire alle organizzazioni di interpretare e applicare la ISO/IEC 20000-1, inclusi i riferimenti ad altre parti della ISO/IEC 20000 e altri standard pertinenti. Fornire elementi per la corretta definizione dell’ambito e sull’applicabilità ai requisiti specificati nella ISO/IEC 20000-1.

ISO/IEC 20000-1:2018 – Information technology – Service management – Part 1: Service management system requirements

ISO/IEC 20000-2:2019 – Information technology – Service management – Guidance on the application of service management systems.

ISO/IEC 20000-3- Information technology -Service management – Guidance on the scope definition and application of ISO/IEC 20000-1

Argomenti principali:

  • Introduzione al Service Management
  • Termini e principi del Service Management definiti nella ISO/IEC 20000-10:2018;
  • Analisi dettagliata dei requisiti e dei processi previsti dallo schema ISO/IEC 20000-1:2018;
  • Interpretazione e applicazione della ISO/IEC 20000-1 secondo la ISO/IEC 20000-2;
  • Come definire l’ambito e l’applicabilità di un sistema conforme alle ISO/IEC 20000-1 secondo la ISO/IEC 20000-3.

Il Sistema di gestione dei Servizi IT (SMS) è un sistema di gestione per dirigere e controllare le attività di gestione dei servizi dell’organizzazione.

Durata:

3 lezioni frontali da 4 ore cadauna

Laboratorio:

3 lezioni frontali da 4 ore cadauna

 Tutor:

Vittorio Ghibaudo

MODULO 5

UNI EN ISO 22301:2019 – Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Requisiti

Obiettivo del modulo: Fornire le conoscenze teoriche ed operative per eseguire la valutazione della corretta implementazione e dell’efficacia di un Sistema di Gestione per la Continuità Operativa in accordo con la norma ISO 22301:2019.

UNI EN ISO 22301:2019 – Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Requisiti

La norma specifica i requisiti per attuare, mantenere e migliorare un sistema di gestione per proteggere l’organizzazione, ridurre la probabilità che si verifichino, prepararsi, rispondere e riprendersi dalle interruzioni quando si verificano, cioè un efficace sistema di gestione per la continuità operativa (SGCO).

I requisiti specificati nella norma sono generici e sono destinati ad essere applicabili a tutte le organizzazioni, o a parti di esse, indipendentemente dal tipo, dalle dimensioni e dalla natura dell’organizzazione. La portata dell’applicazione di questi requisiti dipende dall’ambiente operativo e dalla complessità dell’organizzazione.

La norma è applicabile a tutti i tipi e dimensioni di organizzazioni che:

  1. a) attuano, mantengono e migliorano un SGCO;
  2. b) cercano di garantire la conformità con la politica di continuità operativa dichiarata;
  3. c) hanno la necessità di essere in grado di continuare a fornire prodotti e servizi ad una capacità predefinita accettabile durante un’interruzione;
  4. d) cercano di migliorare la loro resilienza attraverso l’effettiva applicazione del SGCO.

Argomenti principali:

  • La gestione dei rischi e le tecniche di valutazione dei rischi
  • La BIA Business Impact Analysis
  • I requisiti della norma sui sistemi di Gestione per la Continuità Operativa ISO 22301:2019

Un SGCO è un insieme di elementi correlati o interagenti di un’organizzazione finalizzato a stabilire politiche, obiettivi e processi per conseguire tali obiettivi.

Durata:

2 lezioni frontali da 4 ore cadauna

Laboratorio:

2 lezioni frontali da 4 ore cadauna

Tutor:

Vittorio Ghibaudo

MODULO 6

Linee Guida Cloud per la PA (AgID)

Obiettivo del modulo:

Fornire cenni sul “Regolamento recante i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione” è stato adottato da AGID con Determinazione 628/2021, in conformità alle previsioni di cui all’articolo 33-septies, comma 4, del D.L. 179/2012 e all’articolo 17, comma 6, del D.L. 82/2021.

Linee Guida Cloud per la PA (AgID)

Le Linee Guida Cloud di AgID sono volte ad orientare le soluzioni di sistemi di Cloud Computing in ambito SPC (Sistema Pubblico di Connettività e Cooperazione). Il documento intende inoltre essere una prima linea di indirizzo per la certificazione delle soluzioni cloud per la PA, in attuazione delle regole tecniche per la qualificazione dei fornitori SPC e della certificazione dei servizi in corso di emanazione.

La Pubblica Amministrazione, come del resto il settore privato, sta valutando da qualche anno l’adozione del Cloud Computing per la gestione delle proprie infrastrutture e l’erogazione dei propri servizi ICT. La messa a punto di un quadro strategico ampio e chiaro è indispensabile e presuppone la conoscenza dei concetti fondamentali e delle principali criticità del Cloud Computing.

Obiettivi:

Fornire cenni sul “Regolamento recante i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione” è stato adottato da AGID con Determinazione 628/2021, in conformità alle previsioni di cui all’articolo 33-septies, comma 4, del D.L. 179/2012 e all’articolo 17, comma 6, del D.L. 82/2021.

Linee Guida Conservazione (AgID)

Illustrano le procedure e gli strumenti per l’avvio delle attività di conservazione dei documenti informatici da parte delle PA.

Le linee guida sulla conservazione hanno lo scopo di fornire alle amministrazioni pubbliche tutte le informazioni relative a requisiti, processi, attività e responsabilità in materia di conservazione dei documenti informatici, nel rispetto dei riferimenti normativi vigenti.

Obiettivi:

Fornire cenni sulla determinazione n. 407/2020 e alla nuova Determinazione n. 371/2021, con cui AgID ha adottato le “Linee guida per la formazione, gestione e conservazione dei documenti informatici”, dopo aver esperito la procedura di informazione prevista dalla Direttiva (UE) 2015/1535 e dalla Legge 317/86, come modificata con D. Lgs. 223/2017.

Durata:

1 lezione frontali da 4 ore cadauna

Laboratorio:

1 lezione frontali da 4 ore cadauna

Tutor:

Vittorio Ghibaudo