logo

Benvenuti sul sito di Sicurdata Srl. Siamo a vostra disposizione per tutto ciò che riguarda consulenza in ambito Data Protection & E-Privacy e Compliance.

Contatti

Indirizzo:

Viale Belfiore, 42 - 50123 - Firenze (FI), Italia.
Email : info@opendata.it

 Domande?

Visita la sezione Questions & Answers

24 Giu

Art. 50 bis

Written by

Supporto per Art. 50 bis del Codice Amministrazione Digitale

Premessa
L’articolo 34, comma 2, del D. Lgs. 30 dicembre 2010, n. 235 ha introdotto l’art. 50-bis nel D. Lgs. n. 82/2005, rubricato "Continuità operativa", volto a fornire alle pubbliche amministrazioni gli strumenti utili ad adottare le giuste misure che assicurino la continuità delle operazioni indispensabili per il servizio e il ritorno al normale funzionamento attraverso la predisposizione di piani di emergenza. Attraverso tale introduzione il legislatore prende finalmente coscienza di come l’intenso utilizzo della tecnologia nell’ambito dell’attività istituzionale degli enti debba essere accompagnato necessariamente dalla predisposizione di piani di emergenza che assicurino la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività a seguito di un evento disastroso.

Il comma 3 dell’art. 50-bis impone dunque alle pubbliche amministrazioni di definire il piano di continuità operativa(lett. a) del citato comma), la cui funzionalità deve essere verificata con cadenza almeno biennale e che deve contenere la descrizione delle relative procedure da seguire, tenendo conto delle risorse umane, strutturali e tecnologiche di ciascuna realtà amministrativa e delle idonee misure preventive. La lett. b) del comma 3 del medesimo articolo sancisce l’obbligo per le pubbliche amministrazioni di delineare altresì un piano di disaster recovery, che costituisce parte integrante del piano di CO di cui alla lettera precedente e che fissa quali misure tecniche e organizzative le pubbliche amministrazioni debbano adottare per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione.

L’art. 50-bis del CAD prevede poi che ex DigitPA ora Agenzia per l’Italia Digitale provveda, oltre alla verifica annuale dell’aggiornamento dei piani di disaster recovery delle amministrazioni interessate, anche alla stesura delle "linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche". In data 16 novembre 2011, dunque, dopo aver ottenuto il consenso del Garante per la protezione dei dati personali, ex DigitPA ha approvato definitivamente le "Linee Guida per il Disaster Recovery delle Pubbliche Amministrazioni" e ha provveduto a pubblicarle sul proprio sito internet www.digitpa.gov.it.

Normativa di Riferimento
Di seguito elenchiamo la normativa di riferimento :

. D.Lgs. 82 del 2005 o "Codice dell'Amministrazione Digitale" (più volte modificato, più recentemente dal Dlgs 235 del 2010), norma di riferimento per quanto riguarda la firma digitale. Attua quanto previsto dall'articolo 15, comma 2 della legge del 15 marzo 1997, n. 59 e rappresenta l'adeguamento italiano alla Direttiva Europea 1999/93/CE. Questo Decreto Legislativo, inoltre, regolamenta il Sistema Pubblico di Connettività (SPC).
. DPR 445/2000, il precedente riferimento per la firma digitale, ora ridotto alle sole parti concernenti la gestione di atti e documenti nell'ambito della Pubblica Amministrazione.
. Da un punto di vista tecnico, sono in vigore i seguenti provvedimenti, eventualmente richiesti da norme abrogate ma tuttora validi:
- Norme sulla dematerializzazione della documentazione:
- DPCM del 30 marzo 2009: regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici (di cui all'articolo 71 del D.Lgs.82); sostituisce il precedente DPCM del 13 gennaio 2004.
- Deliberazione CNIPA n. 45 del 2009 (scaricabile nella versione consolidata con le modifiche del 2010 da www.digitpa.gov.it): regole per il riconoscimento e la verifica del documento informatico a cui attenersi a norma del DPCM del 30 marzo 2009; sostituisce la precedente deliberazione CNIPA 4/2005.
- DPCM del 30 ottobre 2003 (file 2003_DPCM_30_ottobre_schema_cert_sic.pdf): schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell'informazione.
- Deliberazione CNIPA 11/2004 e note esplicative (scaricabile da www.digitpa.gov.it): regole tecniche per la riproduzione e conservazione di documenti su supporto ottico.
. Norme applicabili alla Pubblica Amministrazione:
- D.P.C.M. 31 ottobre 2000: regole tecniche per il protocollo informatico della Pubblica Amministrazione.
- Delibera AIPA n. 51 del 2000 (file 2000_delibera_AIPA_51_PA.pdf): regole tecniche in materia di formazione e conservazione di documenti informatici delle pubbliche amministrazioni (apparentemente, questa delibera non è più in uso e quindi, forse, implicitamente abrogata).
- DPCM del 1 aprile 2009 sulle regole di sicurezza della SPC
. Norme sulla posta elettronica certificata (PEC):
- DPR 68 del 2005: regolamento per l'utilizzo della posta elettronica certificata (PEC).
- Decreto del novembre 2005 della Presidenza del Consiglio dei Ministri e relativo Allegato: regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata.
. Legge "anti-crisi" 2/2009 (di conversione del DL 185/2008): modifica il DPR 68 del 2005 e rende obbligatorio l'uso della PEC ad alcuni soggetti dal novembre 2011.
. Ulteriori regolamenti sul sito www.digitpa.gov.it
. Norme applicabili ai certificatori di firma digitale:
- Deliberazione CNIPA n. 45 del 2009 (scaricabile nella versione aggiornata da www.digitpa.gov.it): specifiche tecniche per garantire l'interoperabilità tra i diversi certificatori.
- Circolare CNIPA 48 del 2005 (scaricabile da www.digitpa.gov.it): modalità per presentare la domanda di iscrizione nell'elenco pubblico dei certificatori.
. Norme applicabili alla fatturazione elettronica:
- Decreto Legislativo 52 del 2004: modalità di fatturazione elettronica (richiama la circolare AIPA 42 sostituita dalla Deliberazione CNIPA 11/2004).
- Decreto del Ministero dell'Economica e delle Finanze del 23 gennaio 2004 (file 2004_decr_min_eco_23_gennaio_fiscali_doc_informatici.pdf.
. Norme sulla Carta Nazionale dei Servizi:
- D.P.R. 117 del 2004: regolamento sulla carta nazionale dei servizi.
. Decreto interministeriale del 9 dicembre 2004 (file 2004_decreto_9_dicembre.pdf: regole tecniche relative alla carta nazionale dei servizi.

 

Kit-Art. 50 - bis

Alla luce di quanto sopra esposto, potremo proporre un’attività certificata di supporto per l’eventuale servizio di realizzazione dello Studio di Fattibilità e relativo piano di continuità operativa. I passi e proposte di servizi anche legati al Kit-Privacy possono essere :

Redazione Studio di Fattibilità Tecnica
Si prevede un’attività di consulenza (Business Impact Analysis ed analisi costi-benefici) su organizzazione, servizi informatici interni ed esterni, soluzioni tecnologiche, esigenze di continuità operativa.
Il riferimento metodologico è rappresentato dal documento «LINEE GUIDA PER IL DISASTER RECOVERY DELLE PUBBLICHE AMMINISTRAZIONI» – Agenzia per l’italia Digitale (ex. DigitPA).

Il risultato dell’attività sarà il Documento di Studio di Fattibilità Tecnica da sottoporre da parte dell’Amministrazione al parere di Agenzia per l’Italia Digitale.

Il progetto è proposto chiavi in mano e sarà così organizzato:

  • un intervento on-site della durata di almeno tre giorni lavorativi (totali) per la presentazione del progetto, la rilevazione dello scenario sul campo e le interviste con i referenti;
  • l’attività di analisi e di elaborazione del documento SFT, che verrà svolta a distanza;
  • un intervento on-site per la presentazione del documento e la chiusura del progetto

Redazione del Piano di Continuità Operativa
Si prevede un’attività di consulenza tecnico-organizzativa sulla base dell’analisi dello Studio di Fattibilità Tecnica e delle eventuali notazioni effettuate da Agenzia per l’Italia Digitale con lo scopo di predisporre le misure specifiche di Continuità Operativa.

Il riferimento metodologico rimane il documento «LINEE GUIDA PER IL DISASTER RECOVERY DELLE PUBBLICHE AMMINISTRAZIONI» – Agenzia per l’italia Digitale (ex. DigitPA).

Il risultato dell’attività sarà il Piano di Continuità Operativa (PCO) comprendente il Piano di DisasterRecovery.

Il progetto è proposto chiavi in mano e sarà così organizzato:

  • 1 intervento on site per la presentazione del progetto, l’acquisizione dello Studio di Fattibilità Tecnica e le eventuali notazioni effettuate da Agenzia per l’italia Digitale;
  • l’attività di analisi ed elaborazione del documento,che verrà svolta a distanza;
  • 1 intervento on site per la presentazione del documento e chiusura del progetto.

Realizzazione soluzioni di DisasterRecovery
Lo Studio Professionale Oliveri è disponibile ad effettuare attività di supporto tecnico e la fornitura di servizi per la realizzazione delle soluzioni di DisasterRecovery indicate nello Studio di Fattibilità Tecnica.

La attività potranno prevedere l’installazione, la configurazione e il test delle soluzioni di DisasterRecovery sia presso le strutture tecniche del Cliente che attraverso servizi offerti direttamente o indirettamente anche tramite paradigma Cloud Computing.

Tra le soluzioni a portafoglio si segnalano:

  • Soluzioni cluster
  • Configurazione di Oracle RAC
  • ServizioFast DB Recovery
  • Servizi di backup (Remote Safe Oracle & File System)
  • Predisposizione postazioni di lavoro in ottica di Business Continuity presso i nostri laboratori
  • Servizi CloudSaaS

Il progetto potrà variare a seconda delle necessità del cliente e delle soluzioni da integrare al sistema informativo già presente e sarà oggetto di una specifica offerta.

Le fasi del Supporto/Consulenza

Fase 1: Incontro di kick off
L’incontro di kick off, di un’ora circa, è una presentazione per tutto il personale coinvolto nel progetto (in particolare, i referenti delle aree aziendali da coinvolgere) dei suoi obiettivi, in modo da garantire la loro consapevolezza in merito al progetto e la disponibilità per le fasi successive.
Durante l’incontro si prenderà atto dell’attuale organizzazione del cliente in modo da condividere un piano di incontri e verrà assolta l’attività ricognitiva.

Fase 2: Interviste con il personale e bozze procedure
Le interviste avranno la finalità di raccogliere informazioni sulle attività di ciascuna funzione organizzativa.
Per un più efficace e rapido risultato, si suggerisce di permettere la conduzione delle interviste presso le postazioni di lavoro degli operatori, con la supervisione del referente di progetto del cliente. In questo modo, sarà più facile comprendere i processi, gli strumenti utilizzati da ciascuno e condividere eventuali futuri adeguamenti per la conformità alla ISO.

Le interviste avranno una durata indicativa di due ore ciascuna e comprenderanno:

  • commerciale
  • gestione della progettazione (Servizi Tecnici e sviluppo)
  • gestione dell’erogazione dei servizi (Customer Care e operatori)
  • acquisti
  • gestione personale

Inoltre, saranno svolti brevi incontri con:

  • Responsabile servizio
  • Responsabile sicurezza e suo staff
  • Audit interno
  • Ufficio legale

Sulla base di quanto raccolto saranno preparate le prime bozze delle seguenti procedure:

  • gestione commerciale
  • gestione della progettazione (Servizi Tecnici e sviluppo)
  • gestione dell’erogazione dei servizi (incluso customer care e monitoraggio)
  • gestione acquisti
  • gestione personale

Le procedure saranno il più possibile brevi, semplici da seguire e molto operative, in modo da facilitare il cliente a mantenere una "naturale" conformità al sistema qualità.

Fase 3: Condivisione con il personale del cliente
In diverse riunioni saranno presentate le bozze di procedure al personale del cliente in modo da condividere i processi descritti e predisporre quanto necessario per soddisfare quanto pianificato.

Fase 4: Completamento della documentazione
In questa fase saranno completate tutte le procedure necessarie per l’implementazione del sistema del cliente.

In particolare, verranno redatti i seguenti:

documenti operativi
- procedura di gestione commerciale
- procedura di gestione della progettazione
- procedura/e di gestione dell’erogazione dei servizi
- procedura di gestione acquisti
- procedura di gestione del personale

documenti gestionali
- manuale qualità
- procedura di gestione del miglioramento continuo (non conformità e incidenti, audit interni, azioni correttive, azioni preventive)
- procedura di gestione della documentazione (documentazione e registrazioni)
- procedura sulle responsabilità della Direzione (comunicazione, politica per la qualità, riesame della Direzione, gestione del monitoraggio e delle misurazioni di efficacia del SGQ)

modelli per le registrazioni
- a seconda delle necessità, in formato elettronico o cartaceo

Fase 5: Preparazione all’audit dell’Organismo di Certificazione
Per la preparazione all’audit di terza parte, saranno necessarie alcune attività per garantire il buon andamento della verifica e il soddisfacimento di alcuni requisiti necessari per dimostrare la conformità alla ISO.

In particolare saranno svolte le seguenti attività:

  • una sessione di formazione di circa 2 ore
  • conduzione audit interni
  • riesame della documentazione pertinente alle procedure
  • conduzione riesame della Direzione

Fase 6: Supporto durante l’audit
Durante l’audit dell’Organismo di Certificazione, sarà fornito adeguato supporto, sempre considerando che i regolamenti di certificazione prevedono che i consulenti dovrebbero fungere solo da osservatori. Secondo le prassi solite, sarà comunque fornito il necessario supporto.

Per l’audit, che sarà probabilmente diviso in 2 parti, sarà compito del cliente:

  • mettere a disposizione un locale per le giornate, preferibilmente nella sede che sarà riportata sul certificato
  • garantire la disponibilità della Direzione (almeno a inizio e fine delle verifiche) e del personale durante le giornate di verifica secondo il piano che invierà l’organismo di certificazione

Fase 7: Supporto a seguito dell’audit
A seguito dell’audit sarà fornito il supporto relativo a:

  • comunicazione con l’Organismo di certificazione per l’ottenimento del certificato secondo quanto necessario
  • predisposizione delle azioni eventualmente richieste a seguito dell’audit

Supporto in materia di Certificazione ISO
e Sicurezza nei luoghi di lavoro

SICURDATA Srl nasce a seguito dell’esperienza maturata per circa 20 anni nella consulenza organizzativa e direzionale.

Esperienza pluriennale tecnica e di project management nel campo delle architetture di rete e della sicurezza, computer forensics e gestione degli incidenti, analisi e disegno di basi dati, integrazione di piattaforme software, consulenza procedurale ed organizzativa per l’adeguamento alle normative nazionali ed internazionali in materia di misure di sicurezza informatica (Privacy, Garante AdS, Codice Amministrazione Digitale – Disaster Recovery, ISO 27001, Certificazione Star per servizi in modalità Cloud Computing, 81/2008).

Tale esperienza è stata integrata con altre professionalità all’interno dello Studio relative agli altri settori, quali la formazione, conduzione e sostegno verso la compliance aziendale rispetto a dispositivi di Legge (Privacy, 231, ecc.) o standard internazionali (ISO 9001, ISO/IEC 27001, ISO/IEC 20000, ecc.), il controllo di gestione e la consulenza in materia di sicurezza negli ambienti di lavoro al fine di offrire al cliente un servizio integrato che rispondesse in maniera globale alle sue esigenze esplicite ed implicite.

Lo Studio Professionale Oliveri, anche con l’ausilio di partner strategici, rivolge ad imprese pubbliche e private servizi integrati di varia natura ed in particolare:

Progettazione, implementazione e certificazione di:

  • Sistemi Qualità Aziendale (UNI EN ISO 9001)
  • Sistemi Ambientali (UNI EN ISO 14000)
  • Sistemi di gestione sicurezza e salute sul luogo di lavoro OHSAS 18001
  • Sistemi Integrati Aziendali

Adeguamenti normativi relativi a:

  • L. 81/08 Igiene e Sicurezza nei luoghi di lavoro

Organizzazione Aziendale :

  • Consulenza Legale e del lavoro
  • Formazione del Personale e Direzionale & Formazione continua
  • Consulenza Direzionale, Amministrativa e Controllo di Gestione

Supporto/ Consulenza certificazioni
La progettazione ed implementazione di un Sistema di Gestione per la Qualità è una premessa indispensabile per garantire il rispetto dei fattori di Qualità, senza il quale non è possibile conseguire la soddisfazione dei clienti ed ottenere la certificazione da parte di un Ente accreditato ACCREDIA.
Il riferimento è costituito dalle norme ISO della serie 9000 che forniscono le indispensabili "linee guida per la realizzazione di un sistema di gestione per la qualità" (norma ISO 9004: 2000) e definiscono "i requisiti di un sistema di gestione per la qualità, la cui applicazione può essere utilizzata da un’azienda per dimostrare la propria capacità di soddisfare le esigenze dei clienti e per la valutazione di tale capacità ad opera di valutatori interni ed esterni" (norma ISO 9001: 2008).
Il Sistema di Gestione per la Qualità ha, inoltre, la possibilità di integrarsi con altri aspetti quali la normativa ambientale, la sicurezza del lavoro ecc. Nel corso della fase di check up si andranno a definire i vantaggi e gli svantaggi di un sistema integrato in modo da definire quali aspetti integrare nel sistema e quali gestire esternamente allo stesso SQA.

L’Obiettivo di Studio Professionale Oliveri è quello di offrire il supporto alla struttura nella progettazione ed implementazione di un Sistema di Gestione Qualità (SQA) INTEGRATO.

In questa maniera si potrà aumentare l’agibilità e la flessibilità della struttura, analizzando le responsabilità ed i compiti in funzione dell’ottimizzazione delle prestazioni dei processi, offrire servizi di alto livello di qualità ai clienti, aumentando il livello della loro soddisfazione minimizzando i costi e identificando in modo puntuale, attraverso il monitoraggio di indicatori appropriati, le criticità presenti nelle varie fasi dei processi aziendali. Inoltre Studio Professionale Oliveri garantisce e assicura nel tempo il costante miglioramento delle prestazioni, verificandone la coerenza con le necessità/aspettative del Cliente.

Le attività poste in essere per la realizzazione del sistema qualità ai fini della certificazione apportano già dal loro inizio numerosi benefici; la revisione dei processi, l’individuazione dei punti critici, la razionalizzazione delle procedure e degli strumenti, il controllo e la valutazione dei fornitori, l’addestramento del personale, consentono il raggiungimento in tempi brevi dei livelli di qualità prestabiliti.
Il supporto/consulenza proposta mira a presidiare l’area dei risultati, correlandoli all’efficacia ed efficienza ed applicando il principio del miglioramento continuo nella misura necessaria al perseguimento di obiettivi aziendali coerenti con le esigenze manifeste ed implicite della struttura.
Elemento essenziale è la diffusione a tutti i livelli dell’organizzazione aziendale dell’abitudine a prevedere il risultato delle proprie azioni in termini di impatto sulla soddisfazione dei clienti, fino a generare una sorta di "riflesso condizionato". Studio Professionale Oliveri investirà parte del tempo dedicato al progetto anche a quest’attività.
Lo Studio Professionale Oliveri offre la propria consulenza/supporto applicando il ciclo PDCA (Plan-Do-Check-Act); il punto di partenza è costituito da una diagnosi finalizzata alla individuazione delle aree di debolezza per pianificare le azioni di miglioramento, sperimentarle, verificarle e consolidarle.

>>> Le fasi del Supporto/Consulenza

Cookies

I cookies sono piccoli file di testo creati da un server e sono memorizzati sul dispositivo utilizzato dall'Utente per la navigazione sul sito. Essi permettono al sito di garantire all'Utente tutte le funzionalità, una migliore e completa esperienza di navigazione, e di essere al corrente delle preferenze e dei comportamenti dell'utente. Sicurdata Srl utilizza due tipi di cookies, di sessione e persistenti.

I cookies di sessione consentono all'Utente l'esplorazione sicura ed efficiente del sito internet; questi cookies non vengono memorizzati in modo permanente sul dispositivo dell'Utente e si cancellano con la chiusura del browser. I cookies persistenti vengono trasmessi al dispositivo dell'Utente la prima volta che si collega al sito di Sicurdata Srl, e sono memorizzati sul dispositivo stesso. Sicurdata Srl utilizza cookies persistenti per memorizzare le preferenze dell'utente e di terze parti (Google Analytics) al fine di produrre statistiche di utilizzo del sito e per la scelta della lingua.

L'Utente può opporsi alla registrazione dei cookies sul proprio dispositivo configurando il browser usato per la navigazione: se utilizza il sito di Sicurdata Srl senza cambiare le impostazioni del browser, presupponiamo che vorrà ricevere tutti i cookies usati dal sito e fruire di tutte le funzionalità.

Newsletter

Iscrivendoti alla nostra mailing list sarai in grado di ricevere tutte le nostre ultime notizie.
Privacy e Termini di Utilizzo
Non preoccuparti, odiamo lo spam!

Contattaci

Rimaniamo in contatto