linea guida per la continuitÀ operativa dei sistemi e

Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 1/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni

Data: 28/09/2020

Versione: n.1.0

Nome file: Linea guida continuità operativa dei sistemi e delle

informazioni.docx

Doc. Attachment N.: 0

LINEA GUIDA PER LA CONTINUITÀ OPERATIVA DEI

SISTEMI E DELLE INFORMAZIONI

Autore/i: Alessandra Schintu Cybermind S.r.l.

Rivisto Da Alessandra Vitagliozzi Cybermind S.r.l.

Approvato Da: Carmine Maraio, Helga Fineo Sistemi Informativi S.p.A., IBM S.p.A.

Accettato Da: Alberto Genovese So.Re.Sa. S.p.A.

Storia del documento

Data Versione Descrizione modifiche Autore

Sommari

Store: Print date: Codice di riservatezza


Data: 28/09/2020

Versione: n.1.0


informazioni.docx


1 Generalità........................................................................................................................................................4

1.1 Scopo e ambito di applicazione..........................................................................................................4

1.2 Documenti di riferimento...................................................................................................................4

1.3 Definizioni...........................................................................................................................................5

1.4 Acronimi..............................................................................................................................................7

2 Principi generali...............................................................................................................................................9

3 Definizione.....................................................................................................................................................12

3.1 Ambito del sistema di BCM...............................................................................................................12

3.2 Politica per la Continuità Operativa..................................................................................................13

3.3 Organizzazione, ruoli e responsabilità del sistema di BCM..............................................................14

4 Assessment....................................................................................................................................................20

4.1 Business Impact Analysis..................................................................................................................20

4.2 Risk Assessment e Risk Treatment....................................................................................................23

5 Pianificazione.................................................................................................................................................25

5.1 Definizione della strategia di continuità operativa...........................................................................25

5.2 Analisi di fattibilità e progettazione soluzione tecnica/organizzativa...............................................26

5.2.1 Analisi di fattibilità tecnica.........................................................................................................26

5.2.2 Progettazione soluzione tecnica-organizzativa..........................................................................27

5.3 Piano di CO/DR..................................................................................................................................28

5.4 Piano di attuazione...........................................................................................................................31

6 Attuazione......................................................................................................................................................31

6.1 Realizzazione della soluzione tecnico/organizzativa definita...........................................................31



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


6.2 Comunicazione e formazione...........................................................................................................32

6.3 Test e relative modalità.....................................................................................................................32

7 Revisione........................................................................................................................................................33

7.1 Test ed esercitazioni di CO/DR..........................................................................................................33

7.2 Valutazione delle performance del sistema di BCM.........................................................................36

7.3 Verifiche Interne...............................................................................................................................37

7.4 Mantenimento del Piano di CO/DR..................................................................................................38

7.5 Riesame della Direzione....................................................................................................................39

7.6 Miglioramento..................................................................................................................................41

8 Allegati..........................................................................................................................................................42

8.1 Allegato 3 – Supporto all’individuazione della soluzione tecnologica e delle soluzioni tecniche....42



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


1 Generalità

1.1 Scopo e ambito di applicazione

Ai sensi dell’art. 32 del GDPR [1], la continuità operativa è intesa come la capacità di

un’Organizzazione di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in

caso di incidente fisico o tecnico.

L’Obiettivo della presente Linea Guida è quello di indirizzare la progettazione e l’implementazione di

un sistema di gestione della continuità operativa (di seguito sistema di BCM) a supporto del

trattamento dei dati personali effettuato ai sensi del GDPR [1].

Tali linee guida costituiscono i requisiti di base che devono essere rispettati per garantire la

continuità operativa degli asset ICT che trattano dati personali [1] e che, in quanto tali, in virtù delle

specifiche caratteristiche del contesto operativo cui si applicano, possono essere incrementati nei

casi in cui siano richiesti livelli di sicurezza più stringenti.

Gli indirizzamenti definiti nel presente documento si applicano a tutti gli asset ICT [15] della

Struttura Sanitaria utilizzati a supporto dei trattamenti di dati personali effettuati ai sensi del GDPR

[1]. Per quanto applicabile, tali indirizzamenti si intendono estesi anche ai servizi in Cloud.

1.2 Documenti di riferimento

[1] Regolamento (UE) 679/2016 (GDPR); [2] D.lgs. 82/2005 – Codice dell’Amministrazione Digitale (CAD) e s.m.i[3] ISO/IEC 27002:2013 “Code of practice for information security controls", 01/10/2013[4] ISO/IEC 27001:2017 “Information technology — Security techniques — Information security

management systems - Requirements”, 2017-03[5] AgID “Linee Guida per il Disaster Recovery delle Pubbliche Amministrazioni”, Agg.to 2013 [6] AgID “Linee Guida razionalizzazione infrastruttura digitale della PA”, 2013[7] ISO 22301:2019 “Societal security – Business continuity management systems –

Requirements”[8] ISO 22313:2020 “Societal security – Business continuity management systems. Guidance”[9] ISO 22300:2018 “Societal security – Business continuity management systems. Terminology”[10] Information Technology Infrastructure Library (ITIL) v3[11] NIST SP 800-34 “Contingency Planning Guide for Federal Information Systems”



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


[12] Linee guida per la conduzione delle attività di Data Protection Impact Assessment[13] Linee Guida per la Classificazione delle Informazioni e dei Trattamenti[14] Registro dei trattamenti[15] ICT Asset Inventory

1.3 Definizioni

Definizioni DescrizioneAgenzia per l’Italia Digitale (AgID)

L'Agenzia per l'Italia Digitale (AgID) coordina le azioni in materia di innovazione per promuovere le tecnologie ICT a supporto della pubblica amministrazione, garantendo la realizzazione degli obiettivi dell’Agenda digitale italiana in coerenza con l’Agenda digitale europea.

Asset ICT Si intendono le risorse informatiche dell’Organizzazione (es. PC, server, apparati di rete, apparati di sicurezza, software di base, software applicativo, software middleware, ecc.), a supporto del trattamento dei dati personali ai sensi del GDPR [1].

Azione Correttiva È una un’azione definita e finalizzata ad eliminare la causa di una non conformità, e a prevenirne il riaccadimento.

Business Impact Analysis (BIA)

La metodologia da utilizzare al fine di determinare le conseguenze derivanti dal verificarsi di un evento e di valutare l’impatto di tale evento sull’operatività dell’Organizzazione.

Continuità Operativa ICT (CO)

La capacità di un Organizzazione di adottare - per ciascun processo critico e per ciascun servizio istituzionale critico erogato in modalità ICT, attraverso accorgimenti, procedure e soluzioni tecnico-organizzative - misure di reazione e contenimento ad eventi imprevisti che possono compromettere, anche parzialmente, all’interno o all’esterno dell’Organizzazione, il normale funzionamento dei servizi e funzioni istituzionali. Il processo ICT è un caso tipico di processo critico.

Disaster recovery (DR)

L’insieme delle misure tecniche e organizzative adottate per assicurare all’Organizzazione il funzionamento del centro elaborazione dati e delle procedure e applicazioni informatiche dell’Organizzazione stessa, in siti alternativi a quelli primari/di produzione, a fronte di eventi che provochino, o possano provocare, indisponibilità prolungate.

Disastro L’effetto di un evento improvviso che ha come impatto gravi e prolungati danni e/o perdite per l’Organizzazione.

Piano di ContinuitàOperativa o Piano di Business Continuity (PCO)

Documento operativo che descrive tutte le attività e modalità finalizzate al ripristino delle funzionalità ICT, a seguito di un evento negativo di significativa rilevanza, che determini l’indisponibilità dei servizi critici individuati dall’Organizzazione; per una realtà di dimensioni limitate, soprattutto sotto il profilo ICT, il Piano di Continuità Operativa ICT e il Piano di DR possono coincidere ma dovrà comunque essere presente la componente dedicata al Disaster Recovery. In realtà particolarmente


http://www.agid.gov.it/agenda-digitale/agenda-digitale-italiana

http://www.agid.gov.it/agenda-digitale/agenda-digitale-italiana


Data: 28/09/2020

Versione: n.1.0


informazioni.docx


Definizioni Descrizionecomplesse, all’opposto, il piano di continuità può essere solo un documento di primo livello, cui vanno associati, per esempio, documenti di secondo livello, quali procedure relative a servizi e/o sistemi specifici (ad esempio il Piano di Disaster Recovery) e finanche documenti di terzo livello, per esempio sotto la forma di istruzioni di lavoro che riportano le indicazioni operative specifiche.

Piano di Disaster Recovery (PDR/DRP)

Documento operativo che descrive tutte le attività necessarie a garantire, a fronte di un evento negativo di significativa rilevanza, che determini l’indisponibilità delle funzioni ICT a supporto dei servizi/processi critici individuati dall’Organizzazione, il ripristino delle stesse, entro un arco temporale predefinito, tale da rendere, il più possibile, minime le interruzioninell’erogazione dei servizi. Si evidenzia che il PDR/DRP è la sezione del PCO che descrive le attività di ripristino del sistema informativo, costituisce parte integrante del PCO e stabilisce le misure tecniche ed organizzative per assicurare l’erogazione dei servizi classificati come critici (e delle procedure e applicazioni informatiche correlate) tramite le risorse hw, sw e di connettivitàpresso un CED alternativo a quello/quelli di produzione.

Risk Assessment (RA)

L’analisi per determinare il valore dei rischi di accadimento di un evento che possa interrompere l’erogazione di un servizio.

Risk Treatment (RT)

Trattamento del rischio a valle della sua individuazione (RA) al fine di contenerlo entro limiti accettabili per l’Organizzazione.

Recovery Point Objective (RPO)

Indica la perdita dati tollerata: rappresenta il massimo tempo che intercorre tra la produzione di un dato e la sua messa in sicurezza (ad esempio attraverso backup) e, conseguentemente, fornisce la misura della massima quantità di dati che il sistema può perdere a causa di un evento imprevisto.

Recovery Time Objective (RTO)

Indica il tempo di ripristino del servizio: è la durata di tempo entro il quale unprocesso critico ovvero il Sistema Informativo primario deve essere ripristinato dopo un disastro o una condizione di emergenza (o interruzione),al fine di evitare conseguenze inaccettabili.

Soluzione Tecnologica per la CO/DR (Tier)

Tipologia di soluzione tecnologica per la CO/DR, individuata in fase di BIA. La tipologia è articolata in sei livelli (“Tier”), utili a ottenere valori progressivamente inferiori di RTO e RPO. Generalmente, si parla di Soluzione Tecnologia quando ci si vuol riferire alla sua classificazione (es. Tier 1, Tier 2). Ogni soluzione tecnologica può essere realizzata tramite una o più “soluzioni tecniche-organizzative”.

Soluzione Tecnica-organizzativa per la CO/DR

Rappresenta la soluzione ICT da implementare per il soddisfacimento del Tierindividuato in fase di BIA per assicurare la CO/DR.

Studio di fattibilitàtecnica (SFT)

Lo studio sulla base del quale l’Organizzazione deve adottare il PCO e il PDR.

Tier Letteralmente, livello, grado. Nel presente documento il termine viene



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


Definizioni Descrizioneutilizzato nell’accezione di tipologie di soluzioni tecnologiche per la CO/DR, articolate in 6 livelli (“Tier”), utili al raggiungimento di valori progressivamente inferiori di RTO e RPO [5].

Tabella 1 – Definizioni

1.4 Acronimi

Acronimo DescrizioneBC Business ContinuityBCM Business Continuity ManagementBIA Business Impact AnalysisCED Centro Elaborazione DatiCO Continuità OperativaDR Disaster RecoveryGDPR General Data Protection RegulationICT Information & Communication TechnologyPCO Piano di Continuità OperativaPDR/DRP Piano di Disaster Recovery/Disaster Recovery PlanRA Risk AssessmentRPO Recovery Point ObjectiveRT Risk TreatmentRTO Recovery Time ObjectiveSFT Studio di fattibilità tecnica

Tabella 2 – Acronimi



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


2 Principi generali

I dati personali ai sensi del GDPR [1] ed i sistemi ICT che li trattano, sono ormai parte essenziale ed

indispensabile per lo svolgimento delle funzioni istituzionali di un’Organizzazione, ed è necessario

quindi garantirne la sicurezza attraverso la salvaguardia della confidenzialità, dell’integrità e non

ultimo della disponibilità.

Il tema della continuità operativa, intesa come l’insieme di attività volte a minimizzare gli effetti

distruttivi, o comunque dannosi, di un evento che ha colpito un’Organizzazione o parte di essa,

garantendo la continuità delle attività in generale, deve quindi essere parte integrante dei processi e

delle politiche di sicurezza di un’Organizzazione.

In quest’ottica l’art. 32 del GDPR [1], prevede che l’Organizzazione adotti misure tecniche e

organizzative adeguate a garantire la capacità di ripristinare tempestivamente la disponibilità e

l’accesso dei dati personali in caso di incidente fisico o tecnico;

Da quanto detto, ne consegue che la continuità dei servizi informatici in ambito al presente

documento, rappresenta un impegno inderogabile per la Struttura Sanitaria che deve operare in

modo da limitare al massimo, gli effetti negativi di possibili fermi prolungati dei servizi ICT a

supporto dei suddetti trattamenti.

Un adeguato livello di continuità operativa può essere raggiunto, tramite l’adozione di un sistema di

BCM, che sia in linea con gli standard di riferimento [7], nonché con quanto previsto dalle normative

applicabili [1][2].

Tale sistema, si basa su un modello organizzato in cinque fasi, rappresentate nella figura seguente:



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


Figura 1 Modello del Sistema di BCM

Il modello è articolato nelle seguenti fasi:

Definizione: prevede l’individuazione dell’ambito del sistema di BCM in termini di struttureorganizzative, terze parti interessate, trattamenti effettuati, politiche e infrastrutture (anchetecnologiche) a supporto;

Assessment: prevede l’analisi dei trattamenti di dati personali effettuati da parte dellaStruttura Sanitaria ai sensi del GDPR [1], attraverso l’ausilio dei sistemi ICT, nonché l’analisidegli impatti in situazioni di indisponibilità e l’analisi del rischio per l’individuazione delle areecritiche e delle contromisure da adottare;

Pianificazione: prevede la progettazione e la pianificazione di un sistema di BCM capace diassicurare la continuità operativa dei trattamenti precedentemente individuati. Laprogettazione riguarda sia aspetti organizzativi che tecnologici;

Attuazione: prevede l’implementazione del sistema di BCM progettato, con particolareattenzione agli aspetti di comunicazione/sensibilizzazione e di formazione specifica delpersonale sulle procedure e sui piani di CO/DR;

Revisione: prevede il monitoraggio dell’efficacia/efficienza del sistema di BCM implementato,attraverso test e simulazioni dei piani, valutazioni delle performance, verifiche interne diadeguatezza, mantenimento del Piano di CO/DR e riesame della direzione. Tale fase prevede


Sistema di

BCM

1. Definizione

2. Assessment

3. Pianificazione4. Attuazione

5. Revisione


Data: 28/09/2020

Versione: n.1.0


informazioni.docx


inoltre l’evoluzione del sistema in relazione ai feedback derivanti dalle suddette attività e daeventuali ulteriori requisiti interni ed esterni sopraggiunti nel frattempo.

Nei seguenti capitoli è descritto il dettaglio delle attività afferenti alle singole fasi del suddetto

modello.



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


3 Definizione

La fase di Definizione del sistema di BCM si articola nelle seguenti attività, descritte nei paragrafi

successivi:

Ambito del sistema di BCM; Politica per la Continuità Operativa; Organizzazione, ruoli e responsabilità del sistema BCM.

3.1 Ambito del sistema di BCM

Il sistema di BCM è lo strumento con cui un’Organizzazione garantisce la capacità di continuare ad

esercitare la propria missione istituzionale a fronte del verificarsi di eventi di gravità tale da

compromettere la disponibilità e l’accesso ai dati personali, stabilendo le idonee misure preventive e

correttive, nel rispetto dei livelli prestazionali definiti.

A tal fine, l’ambito del sistema di BCM definito dalla Struttura Sanitaria deve comprendere almeno:

Le applicazioni informatiche e i dati del sistema informativo indispensabili al trattamento dei

dati personali in ambito al presente documento e allo svolgimento delle relative attività; Le infrastrutture fisiche e logiche che ospitano sistemi di elaborazione a supporto; I dispositivi di elaborazione hardware e software che permettono la funzionalità delle

applicazioni a supporto dei servizi della Struttura Sanitaria; Le componenti di connettività locale e/o remota/geografica; Le misure per garantire la disponibilità dei sistemi di continuità elettrica (UPS e gruppi

elettrogeni) e più in generale la continuità di funzionamento del sistema informativo; Le unità organizzative e le relative risorse umane della Struttura Sanitaria e le terze parti

interessate (clienti, fornitori, ecc.)

3.2 Politica per la Continuità Operativa

La Struttura Sanitaria deve definire una politica interna sulla continuità operativa dei trattamenti di

dati personali effettuati ai sensi del GDPR [1] e comunicarla a tutto il personale e, laddove


Definizione Assessment Pianificazione Attuazione Revisione


Data: 28/09/2020

Versione: n.1.0


informazioni.docx


necessario, alle terze parti interessate, in modo che le iniziative intraprese in merito, siano

congruenti con quanto in essa definito.

Tale politica deve esplicitare la necessità di:

Impegnarsi a sviluppare, mantenere e migliorare nel tempo il sistema di BCM, per rispondere

alle mutevoli esigenze della Struttura Sanitaria; Assicurare l’adozione ed il mantenimento di un processo per l’identificazione dei potenziali

scenari di indisponibilità e degli impatti di tali scenari sui trattamenti di dati personali

effettuati dalla Struttura Sanitaria, al fine di a definire un sistema in grado di migliorare la

resilienza, la capacità di ripristino e di reazione a fronte di una crisi; Stabilire obiettivi e strategie per assicurare la continuità dei trattamenti di dati personali,

garantendo adeguate risorse (umane, tecnologiche e finanziarie) per il raggiungimento degli

obiettivi prefissati; Dotarsi, laddove possibile, di strutture organizzative dedicate, a presidio

dell’implementazione e della gestione del processo di continuità operativa, individuando

ruoli e responsabilità; Dotarsi di specifiche procedure in coerenza con i ruoli previsti nel modello organizzativo per

la gestione degli eventi di crisi, garantendone l’aggiornamento ai cambiamenti di contesto; Definire un processo di comunicazione cui attenersi, al verificarsi di situazioni di crisi, con

particolare riferimento sia alle comunicazione interne che a quelle esterne (es. clienti finali,

utenti finali, organi di informazione); Impegnarsi a sviluppare programmi di sensibilizzazione per fornire un’adeguata formazione

sulle modalità di gestione delle situazioni di crisi e a migliorare le competenze necessarie per

sviluppare e mantenere il sistema di BCM; Impegnarsi al miglioramento continuo.

3.3 Organizzazione, ruoli e responsabilità del sistema di BCM

Sono di seguito elencati gli attori coinvolti nel sistema di BCM, con le relative responsabilità:

Il Comitato di Crisi - organismo di vertice a cui spettano le principali decisioni e la

supervisione delle attività e delle risorse coinvolte nel sistema di BMC. Tale organo deve

occuparsi della direzione strategica dell’intera Struttura Sanitaria in occasione dell’apertura



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


dello stato di emergenza ICT ed inoltre, deve condividere con il Responsabile della

Continuità Operativa la responsabilità di garanzia e controllo sulla continuità operativa della

Struttura Sanitaria. In tal senso è opportuno che nel Comitato sia presente la dirigenza della

Struttura Sanitaria, con particolare riferimento a:o Direzione Generale e Strategica;o Direzione Amministrativa e Tecnica;o Direzione Sanitaria.

Tale ruolo prevede, in condizioni ordinarie, le seguenti responsabilità:

o Stabilire gli obiettivi e le strategie di continuità operativa del servizio; o Definire l’ambito del sistema di BCM;o Approvare lo Studio di Fattibilità Tecnica predisposto, sulla base del quali sarà

definito il Piano di CO/DR;o Assicurare risorse umane, tecnologiche e finanziarie adeguate al conseguimento

degli obiettivi fissati;o Definire ed approvare il Piano di CO e le successive modifiche a seguito di

adeguamenti tecnologici ed organizzativi, accettando i rischi residui non gestiti dal

piano di continuità operativa;o Condurre il Riesame della Direzione, con periodicità almeno annuale, del sistema di

BCM, verificare le criticità, attuare e pianificare le iniziative per il miglioramento

continuo dei processi che garantiscono la continuità operativa;o Promuovere e coordinare le attività di formazione e sensibilizzazione sul tema della

continuità operativa del personale dell’Organizzazione;o Approvare il piano di test delle misure di continuità operativa ed esaminare i

risultati delle prove documentati in forma scritta;o Nominare il Responsabile della Continuità Operativa; o Promuovere lo sviluppo, il controllo periodico del piano di continuità operativa e

l’aggiornamento dello stesso a fronte di rilevanti innovazioni organizzative,

tecnologiche e infrastrutturali nonché nel caso di lacune o carenze riscontrate

ovvero di nuovi rischi sopravvenuti.

Tale ruolo prevede, in condizioni di emergenza ICT (crisi), le seguenti responsabilità:



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


o Assumere il controllo di tutte le operazioni e assumere le responsabilità sulle decisioni

per affrontare l’emergenza ICT, ridurne l’impatto e soprattutto ripristinare le condizioni

preesistenti;o Valutare le situazioni di emergenza ICT e dichiarare dello stato di emergenza ICT;o Avviare le attività di ripristino delle funzionalità informatiche e controllare il loro

svolgimento;o Gestire i rapporti con l’esterno e delle comunicazioni ai dipendenti; o Gestire i rapporti interni e risolvere i conflitti di competenza;o Attivare il monitoraggio del processo di rientro dall’emergenza ICT;o Gestire di tutte le situazioni non contemplate;o Effettuare la dichiarazione di conclusione dello stato di emergenza ICT (ritorno allo

stato di normale operatività).

Ferme restando le responsabilità derivanti dal proprio incarico, il Comitato di Crisi ha la

facoltà di avvalersi operativamente della collaborazione di:

o Personale tecnico specialistico appartenente alla Struttura Sanitaria;o Consulenti esterni, ingaggiati mediante specifici contratti di servizio;o Servizi di terza parte, erogati da società con competenze ed esperienze di continuità

operativa e disaster recovery;o Fornitori coinvolti nelle attività di CO/DR;o Tutti i soggetti (stakeholder), convolti a vario titolo nelle attività di CO/DR.

Il Responsabile della Continuità Operativa (CO) – la persona responsabile di supportare la

Struttura Sanitaria nella predisposizione di tutte le misure necessarie per ridurre l’impatto

di un’emergenza ICT e reagire prontamente ed efficacemente, in caso di un’interruzione

delle funzioni ICT, a supporto dei trattamenti di dati personali effettuati ai sensi del GDPR

[1], dovuta a un disastro. Il Responsabile della Continuità operativa è membro del Comitato

di Crisi.

Tale ruolo prevede, in condizioni ordinarie, le seguenti responsabilità:

o Eseguire, con il supporto delle parti interessate (interne od esterne alla Struttura

Sanitaria), le attività di Business Impact Analysis e di Risk Assessment, al fine di

definire la strategia di continuità operativa;o Predisporre o coordinare la predisposizione dello Studio di Fattibilità Tecnica;



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


o Interagire con le parti interessate (interne od esterne alla Struttura Sanitaria) per

individuare le migliori soluzioni tecniche, procedurali e organizzative da

implementare nel Piano di CO, in linea con la strategia di continuità operativa

definita;o Progettare ed attuare, con il supporto delle parti interessate (interne od esterne alla

Struttura Sanitaria), la soluzione di CO/DR adottata e garantirne il costante

aggiornamento a fronte degli eventuali cambiamenti tecnici organizzativi intercorsi

e/o dei test effettuati;o Definire, a valle dell’acquisizione del parere del Comitato di Crisi sullo studio di

fattibilità tecnica inviato (cfr. par. 5.1.1.2), i Piani di CO per descrivere le misure

organizzative e tecniche per garantire la Continuità Operativa e il Disaster Recovery;o Avviare un processo di valutazione di impatto sul Piano di CO, per i cambiamenti

tecnici e organizzativi che coinvolgono la Struttura Sanitaria.o Pianificare e coordinare i test di Continuità Operativa e produrre la reportistica

necessaria;o Aggiornare le procedure tecniche e verificare il corretto funzionamento dei sistemi

di disaster recovery;o Assicurare che i percorsi formativi per il personale coinvolto nelle attività di

ripristino e rientro descritte nel Piano di CO siano opportunamente seguiti;o Valutare le performance del sistema di BCM;o Coordinare ed indirizzare le parti interessate (interne od esterne alla Struttura

Sanitaria), affinché eseguano azioni correttive e di miglioramento scaturite dalle

attività di Revisione del sistema di BCM;o Mantenere aggiornato il Piano di CO e sottoporlo al Comitato di Crisi per la relativa

approvazione.

Tale ruolo prevede, in condizioni di emergenza ICT (crisi), le seguenti responsabilità:

o Costituire il punto di riferimento/contatto per la segnalazione dello stato di

emergenza ICT (reale o potenziale);o Effettuare valutazioni qualitative e quantitative dell’impatto reale o potenziale che

lo stato di emergenza ICT segnalato provoca/può provocare, individuando il



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


personale, i servizi e gli utenti coinvolti per proporre al Comitato di Crisi la

dichiarazione dello stato di emergenza ICT;o Richiedere la convocazione del Comitato di Crisi per la valutazione della

dichiarazione dello stato di emergenza ICT, fornendo tutte le informazioni

necessarie alle decisioni;o Coordinare, in caso di dichiarazione di emergenza ICT da parte del Comitato di Crisi,

i gruppi operativi per la gestione dell’emergenza e per il processo di ritorno alla

normalità;o Aggiornare costantemente il Comitato di Crisi ICT durante le varie fasi di gestione

dell’emergenza ICT;o Informare il Comitato di Crisi della conclusione delle condizioni dell’emergenza ICT;o Curare tutte le operazioni di ritorno alla normalità, in caso di dichiarazione di

conclusione dell’emergenza ICT da parte del Comitato di Crisi.

Ferme restando le responsabilità derivanti dal proprio incarico, il Responsabile della

Continuità Operativa ha la facoltà di avvalersi operativamente della collaborazione di:

o Personale tecnico specialistico appartenente alla Struttura Sanitaria;o Consulenti esterni, ingaggiati mediante specifici contratti di servizio;o Servizi di terza parte, erogati da società con competenze ed esperienze di continuità

operativa e disaster recovery;o Fornitori coinvolti nelle attività di CO/DR;o Tutti i soggetti (stakeholder), convolti a vario titolo nelle attività di CO/DR.

Il Referente delle Verifiche Interne della Struttura Sanitaria. Tale ruolo prevede, le seguenti

responsabilità:o Definire le modalità di svolgimento delle attività di verifica, in termini di finalità,

obiettivi, metodologie, strumenti e risorse utilizzate;o Pianificare le attività di verifica;o Coordinare le sessioni di verifica, svolte dal personale interno e/o da terze parti

esterne alla Struttura Sanitaria;o Approvare i risultati delle verifiche, avendo cura di controllare che ogni giudizio

valutativo sia oggettivamente attribuito sulla base di evidenze riproducibili in ogni

momento;o Redigere, per ciascuna sessione di audit, un report di sintesi direzionale, indirizzato

al Comitato di Crisi, nel quale sono riportati in maniera sintetica i rilievi, le



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


raccomandazioni ed ogni altra tipologia di suggerimento correttivo/migliorativo per

il rientro dalle non conformità eventualmente rilevate;o Comunicare formalmente i risultati delle verifiche (audit report) agli stakeholder

coinvolti nelle attività di rientro dai rilievi eventualmente formulati;

Ferme restando le responsabilità derivanti dal proprio incarico, il Referente delle Verifiche

Interne della Struttura Sanitaria ha la facoltà di avvalersi della collaborazione di:

o Personale tecnico specialistico appartenente alle unità organizzative della Struttura

Sanitaria, avendo cura di evitare conflitti di ruolo che possano compromettere

l’imparzialità delle verifiche e l’oggettività delle valutazioni;o Consulenti esterni, ingaggiati mediante specifici contratti di servizio;o Servizi di terza parte, erogati da società con competenze ed esperienze di audit e

nello specifico ambito di verifica;o Fornitori coinvolti nei processi/servizi oggetto di verifica;o Tutti i soggetti (stakeholder), convolti a vario titolo nelle attività di verifica, che sono

tenuti a fornire al Referente delle Verifiche Interne della Struttura Sanitaria e/o al

personale da questi incaricato, il supporto necessario alla raccolta delle informazioni

utili alla formulazione delle valutazioni di adeguatezza.

4 Assessment

In questa fase la Struttura Sanitaria deve condurre un’attività volta a:

o Valutare l’impatto sui trattamenti effettuati dalla Struttura Sanitaria attraverso i sistemi ICT,

derivante dalla perdita della disponibilità dei dati che sottintendono al trattamento;o Valutare il rischio a cui sono esposti i trattamenti di dati personali effettuati tramite i sistemi

ICT a seguito di una situazione avversa (es. indisponibilità temporanea o disastro), al fine di

individuare le contromisure da adottare per contenere il rischio entro livelli accettabili.

A tale scopo, la fase di Assessment si articola nelle seguenti attività, descritte nei paragrafi

successivi:




Data: 28/09/2020

Versione: n.1.0


informazioni.docx


Business Impact Analysis (BIA); Risk Assessment (RA) e Risk Treatment (RT).

I risultati ottenuti dalla BIA e dalle attività di RA/RT guideranno la definizione della strategia di

continuità operativa e quindi la progettazione e l’implementazione della soluzione di Continuità

Operativa.

4.1 Business Impact Analysis

L’obiettivo della BIA, svolta dal Responsabile della Continuità Operativa con il supporto delle parti

interessate (interne o esterne alla Struttura Sanitaria), è quello di valutare l’impatto sui trattamenti

effettuati attraverso i sistemi ICT, derivante dalla perdita della disponibilità dei dati che

sottintendono al trattamento.

In tal senso, occorre: analizzare tutti trattamenti di dati personali effettuati dalla Struttura Sanitaria, le procedure,

le infrastrutture tecnologiche a supporto e le relazioni fra tutte queste risorse, anche facendo

riscorso al ICT Asset Inventory [15] e al Registro dei trattamenti [14] della Struttura Sanitaria,

al fine di rappresentare compiutamente l’ambito di continuità operativa. Individuare, nell’ambito di continuità operativa, il gruppo di lavoro per la Business Continuity,

che ha l’obiettivo di condurre e gestire tutta l’analisi degli impatti e dei trattamenti all’interno

dell’organizzazione; Valorizzare l’impatto di indisponibilità. Tale valorizzazione deve essere basata su due

dimensioni di analisi:o Categorie d’impatto, suddivise ad esempio in Perdita di Immagine, Perdite Finanziarie

(minori ricavi), Violazione Normativa, Perdite di Efficienza Operativa (maggiori costi),

Danni Ambientali, Danni all’Incolumità delle Persone;o Livelli di impatto, rappresentati a più livelli (es. Alto, Medio Alto, Medio, Medio Basso,

Basso o Assente)

Le suddette valutazioni devono essere effettuate presumendo la totale assenza di

contromisure o controlli di sicurezza eventualmente già implementati, al fine di garantire

giudizi valutativi indipendenti dal contesto fisico, ambientale e tecnologico, che saranno

trattati successivamente in sede di Risk Assessment, insieme alla relazione esistente tra

impatto e causa/evento di sicurezza, responsabile dell’indisponibilità (cfr. par. 4.2). Nel



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


valorizzare l’impatto di indisponibilità occorre prendere in considerazione anche quanto

emerso dall’Analisi degli impatti potenziali sui diritti e le libertà dell’interessato effettuata

nell’ambito della DPIA [11]. In tal senso, occorre prendere in considerazione il valore più

critico tra quello presente nella suddetta analisi in relazione allo scenario di disponibilità e

quanto emerso dalla BIA di cui al presente documento.

Indicare le priorità di ripristino dei trattamenti e delle risorse ICT a supporto, sulla base delle

valutazioni effettuate; Definire il tempo massimo di ripristino (RTO – Recovery Time Objective); Individuare il RPO (Recovery Point Objective); Individuare il livello minimo delle risorse, costituite da asset ICT, dati, procedure ed

organizzazione, necessarie per recuperare la disponibilità dei trattamenti, nei limiti dell’RTO

e dell’RPO definiti; Individuare i Clienti chiave, i fornitori e le altre terze parti coinvolte; Individuare i vincoli sotto cui operano i trattamenti (contrattuali, legali, regolati da normative

interne, piuttosto che dalla legislazione vigente); Individuare la soluzione tecnologica minima da adottare, per garantire la continuità operativa

dei trattamenti dei dati personali, basandosi sulle linee guida fornite in Allegato 3 – Supporto

all’individuazione della soluzione tecnologica e delle soluzioni tecniche.

Uno dei risultati fondamentali della BIA, consiste nella definizione degli indici RTO (Recovery time

Objective) e RPO (Recovery Point Objective), che rivestono particolare importanza in quanto

consentono di individuare le tempistiche entro cui deve avvenire il ripristino desiderato.

In particolare:

il Recovery Point Objective (RPO): rappresenta il periodo di tempo massimo che può

intercorrere tra l'ultimo salvataggio dati e il momento di blocco del sistema ICT a supporto

del trattamento di dati personali. Fornisce una misura della massima quantità di dati che il

sistema può perdere a causa di un disastro. Tali dati sono appunto quelli prodotti nel periodo

successivo a quello dell’ultimo backup e di cui non è stata mantenuta una copia di

salvataggio; il Recovery Time Objective (RTO): rappresenta il tempo massimo tollerabile per il pieno

recupero dell'operatività di un sistema ICT, a seguito dell’avvenimento di un evento



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


bloccante: è il tempo che intercorre fra l’evento bloccante e quello in cui viene ripristinato il

sistema.

Entrambi i valori devono tener conto, per il loro corretto dimensionamento, degli elementi riportati

nella figura seguente:

Figura 2 – Elementi per il dimensionamento RTO ed RPO

4.2 Risk Assessment e Risk Treatment

L’attività di Risk Assessment, svolta dal Responsabile della Continuità Operativa con il supporto delle

parti interessate (interne o esterne alla Struttura Sanitaria) ha i seguenti obiettivi principali:

Individuare gli scenari di indisponibilità (minacce) associati ai trattamenti di dati personali

effettuati dalla Struttura Sanitaria e valutare le rispettive probabilità di accadimento; Individuare le vulnerabilità degli asset ICT a supporto dei trattamenti di dati personali

effettuati dalla Struttura Sanitaria e identificare il livello di rischio derivante dagli scenari di

indisponibilità applicati (es incendio, allagamento, attacco informatico, indisponibilità del

personale).



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


Una volta individuato il livello di rischio è necessario procedere al suo trattamento. Le possibili

strategie di trattamento dei rischi individuati (Risk Treatment) sono basate sulla valutazione del

giusto equilibrio fra i seguenti elementi:

I risultati del Risk Assessment; Il rispetto delle norme cogenti; Gli obiettivi di rischio preposti, ossia il livello di rischio massimo tollerabile su tutti gli asset

coinvolti; Eventuali Piani di Rientro già approvati; Le necessità legate alla missione istituzionale; I costi necessari a sostenerla (es. tecnologiche , organizzazione).

Le possibili strategie di trattamento del rischio sono declinate nelle seguenti opzioni:

Evitare: evitare il rischio, rinunciando, ad esempio, alle attività che lo generano; Trasferire: trasferire il rischio ad altre parti, come ad esempio assicuratori e fornitori; Ridurre: ridurre il rischio ad un livello accettabile predefinito dalla Struttura Sanitaria,

attraverso l’implementazione delle opportune contromisure di sicurezza; Accettare: se non si ritiene opportuna alcuna delle precedenti opzioni.

Nell’ipotesi in cui si decida di ridurre i rischi evidenziati ad un livello ritenuto accettabile per la

Struttura Sanitaria, è necessario dotarsi di un sistema di contromisure tale da contrastare

adeguatamente tali rischi in termini di:

Prevenzione delle minacce e degli attacchi al fine di ridurre il potenziale rischio di danni; Reazione agli attacchi, onde evitare, contenere o minimizzare i danni; Investigazione a supporto delle attività di analisi e valutazione dei danni subiti in seguito ad

un attacco; Ripristino a supporto delle attività di ricostruzione della situazione antecedente il danno.

Il livello di rischio accettato deve essere definito in funzione di molteplici fattori, tra cui:

Gli investimenti previsti; Gli indirizzamenti strategici; Gli obiettivi relativi alla missione della Struttura Sanitaria.



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


5 Pianificazione

Le attività previste dalla fase di Pianificazione delle attività per la realizzazione del sistema di BCM,

descritte nei paragrafi successivi, sono:

La definizione della strategia di continuità operativa; L’analisi di fattibilità e la progettazione della soluzione tecnica/organizzativa; La definizione del piano di CO/DR; La predisposizione del piano di attuazione del piano di CO/DR.

5.1 Definizione della strategia di continuità operativa

La strategia di continuità operativa consente di indirizzare la soluzione tecnico-organizzativa, per

garantire la disponibilità dei dati personali che sottintendono ai trattamenti effettuati dalla Struttura

Sanitaria, riducendo al minimo gli impatti negativi. Tale strategia è individuata da Comitato di Crisi,

sulla base dell’analisi dei risultati della precedente fase di Assessment.

In particolare, la strategia di continuità operativa, illustrata nella seguente figura, deve tenere conto

dei seguenti fattori:

Gli impatti sul trattamento delle informazioni personali effettuate dalla Struttura Sanitaria,

derivanti da un’interruzione del servizio e la soluzione tecnologica individuata (Tier) (cfr. par.

4.1); I valori di RTO/RPO (cfr. par. 4.1); I valori di rischio (cfr. par. 4.2) in rapporto a specifici inadeguatezze dell’infrastruttura di

sicurezza, piuttosto che di assenza di opportune misure di protezione e le contromisure

individuate per il contenimento di tale rischio.




Data: 28/09/2020

Versione: n.1.0


informazioni.docx


Figura 3 – Strategia di Continuità Operativa

5.2 Analisi di fattibilità e progettazione soluzione tecnica/organizzativa

Una volta definita la strategia di continuità operativa più opportuna (cfr. par. 5.1), è necessario che il

Responsabile della Continuità Operativa, con il supporto delle parti interessate (interne o esterne

alla Struttura Sanitaria), effettui un’analisi di fattibilità tecnica, attraverso la formalizzazione di uno

Studio di Fattibilità Tecnica (SFT). Tale attività è propedeutica alla progettazione della soluzione

tecnica-organizzativa finalizzata a garantire la continuità operativa di ogni trattamento di dati

personali individuato.

5.2.1 Analisi di fattibilità tecnica

L’analisi di fattibilità tecnica deve tener conto dei seguenti elementi minimali di valutazione/criticità:

Analisi dei costi e vincoli di budget; Necessità di interventi di razionalizzazione preventiva (consolidamento, virtualizzazione,

ecc.), in special modo prima di adottare soluzioni di DR; Esigenze logistiche, HW, SW, risorse umane; Necessità di competenze tecniche specifiche.



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


L’analisi e la relativa formalizzazione tramite la redazione di uno Studio di Fattibilità, è condotta o

coordinata dal Responsabile della Continuità Operativa e deve contenere almeno le seguenti

informazioni:

Informazioni Generali: la descrizione della Struttura Sanitaria, dell’organizzazione interna,

delle funzioni istituzionali; L’ambito dello SFT: i trattamenti di dati personali effettuati in ambito e fuori ambito al Piano

di CO; Il risultato della fase di assessment (cfr. cap. 4): per ogni trattamento riportato nello Studio di

Fattibilità Tecnica, devono essere riportati i dati emersi nel corso dell’assessment; Le soluzioni tecnologiche e tecniche individuate: il dettaglio della soluzione o delle soluzioni

che la Struttura Sanitaria ha individuato come rispondente/i alle proprie esigenze; Tempi e modalità implementative: in cui devono essere riportati, per tutte le soluzioni

tecnologiche e tecniche individuate, i tempi e le modalità di realizzazione con l’indicazione di

eventuali vincoli e rischi delle soluzioni.

Lo SFT deve essere sottoposto all’approvazione del Comitato di Crisi. A seguito dell’approvazione da

parte del Comitato di Crisi è possibile procedere con la progettazione della soluzione tecnica-

organizzativa, la definizione del Piano di CO/DR e la relativa attuazione, in conformità a quanto

contenuto nello SFT. In caso di mancata approvazione, opportunamente motivata, occorre rivedere

lo SFT tenendo conto di quanto indicato dal Comitato e sottoporlo nuovamente all’approvazione di

quest’ultimo.

5.2.2 Progettazione soluzione tecnica-organizzativa

A seguito dell’approvazione dello SFT (cfr. par. 5.2.1) da parte del Comitato di Crisi, deve essere

effettuata, da parte del Responsabile della Continuità Operativa con il supporto delle parti

interessate (interne o esterne alla struttura), la progettazione vera e propria della soluzione tecnica-

organizzativa, finalizzata predisposizione del Piano di Continuità Operativa (PCO) e del Piano di

Disaster Recovery (PDR).

La soluzione individuata deve prevedere l’esecuzione di chiare ed efficaci azioni (formalizzate in

procedure, istruzioni operative, atti e documenti) da parte dei soggetti coinvolti nel piano, come



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


completa risposta alla situazione d’emergenza, e sono finalizzate al ripristino della disponibilità e

dell’accesso ai dati personali che sottintendono ai trattamenti, sino al rientro alla situazione di

normalità.

La progettazione della soluzione è normalmente articolata nelle seguenti attività, formalizzate in

documentazione specifica:

Progettazione di alto livello del modello organizzativo; Progettazione di alto livello della soluzione tecnologica, con eventuale produzione di

deliverable/studi per il consolidamento o la razionalizzazione del Sito Primario (ove se ne

evidenzi la necessità come passo propedeutico/prerequisito ai fini della realizzazione della

soluzione di DR); Progettazione di dettaglio del modello organizzativo/procedurale; Progettazione di dettaglio della soluzione tecnologica.

Il Piano di CO/DR deve di conseguenza prevedere, le modalità per reagire agli eventi nel modo più

tempestivo possibile e stabilire un flusso di comunicazione ed attivazione efficiente ed efficace.

5.3 Piano di CO/DR

Il Responsabile della Continuità Operativa deve definire, con il supporto delle parti interessate

(interne o esterne alla struttura) e sulla base dello SFT approvato dal Comitato di Crisi:

Il piano di continuità operativa (PCO), che fissa gli obiettivi e i principi da perseguire nel

rispetto dei tempi di RPO ed RTO individuati in fase di Assessment (cfr. cap. 4) e descrive le

procedure per la gestione della continuità operativa, anche qualora affidate a soggetti

esterni. Il PCO tiene conto delle potenziali criticità relative a risorse umane, strutturali,

tecnologiche e contiene idonee misure preventive; Il piano di disaster recovery (PDR), che costituisce parte integrante di quello di continuità

operativa di cui al punto precedente, stabilisce le misure tecniche e organizzative per

garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche

rilevanti in siti alternativi a quelli di produzione.



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


Il PCO è un documento complesso, normalmente articolato in più sezioni, che può contenere al suo

interno documentazione di natura diversa come ad esempio procedure operative, organizzative,

schede, elenchi di persone e di materiale, istruzioni operative. L’eventuale documentazione a

completamento del PCO deve essere predisposta secondo un criterio di facile reperibilità, in tal

senso, una tabella riassuntiva di tutta la documentazione può aiutare al reperimento facile ed

immediato della documentazione da includere o allegare al PCO.

Il PCO si compone di attività e fasi che devono essere dettagliatamente specificate e descritte. É utile

in ogni caso avere una visione complessiva dell’intero flusso di attività in modo che ciascun soggetto

coinvolto abbia immediatamente evidenza delle interazioni tra le singole fasi. Esso rappresenta

pertanto una guida generale che indica come reagire ad eventi “negativi” di significativa rilevanza,

che determinano l’indisponibilità di quei dati personali di cui si garantisce il ripristino entro

determinati limiti di tempo.

Il PCO prevede l’esecuzione di chiare ed efficaci azioni (formalizzate in procedure, istruzioni

operative, atti e documenti), da parte dei soggetti coinvolti nel piano, come risposta alla situazione

d’emergenza, all’eventuale stato di emergenza, e sono finalizzate al ripristino della disponibilità e

dell’accesso ai dati personali sino al rientro alla situazione di normalità. Tali azioni dovranno essere

eseguite da ciascun soggetto coinvolto con immediatezza, in considerazione degli obiettivi da

perseguire. Inoltre, nell’ambito della struttura organizzativa per il PCO predisposta dalla Struttura

Sanitaria, il Responsabile della Continuità Operativa assume un ruolo strategico, sia in condizioni

ordinarie che in eventuali condizioni di emergenza, per assicurare il coordinamento delle operazioni

e il mantenimento, aggiornamento e sviluppo futuro del PCO.

Nel PCO e in tutta la documentazione che lo compone, devono essere presenti le seguenti

informazioni minimali:

I ruoli e le responsabilità delle persone e dei gruppi di lavoro coinvolti; Il processo per l’attivazione dello stato di emergenza, che preveda inoltre misure di

escalation rapide che consentano, una volta assunta consapevolezza della portata

dell’emergenza, di dichiarare lo stato di crisi in tempi brevi;



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


Le informazioni per gestire le conseguenze immediate di una condizione di emergenza,

tenendo in considerazione i seguenti fattori:o La salvaguardia degli individui;o Le strategie, le tattiche e l’operativa per rispondere ad una condizione di emergenza;o La prevenzione di ulteriori perdite e/o indisponibilità

Le informazioni su come ed in quali circostanze la Struttura Sanitaria comunicherà con i

propri dipendenti e con i loro parenti, con le terze parti chiave interessate con i contatti di

emergenza (es. vigili del fuoco, organi di polizia); Le informazioni su come la Struttura Sanitaria continuerà le proprie attività o su come

verranno ripristinate (in caso di DR) nell’ambito degli RTO e degli RPO definiti (es.

individuazione di siti alternativi, di spazi e infrastrutture logistiche e di comunicazione

adeguate al personale coinvolto nella crisi, le regole per la conservazione delle copie dei

documenti importanti (ad es., i contratti) in luoghi remoti rispetto ai documenti originali); Le informazioni riguardo alla risposta da fornire ai mezzi di comunicazione di massa (Media)

a seguito di una condizione di emergenza, con particolare riferimento a:o Strategia di comunicazione;o Interfaccia preferita di riferimento dei Media;o Modello della comunicazione e responsabile della comunicazione

Il processo di ripresa della normale operatività.

Il PCO e tutta la documentazione che la compone, deve essere definita ed approvata dal Comitato di

Crisi, specialmente quella che conferisce gli opportuni poteri e responsabilità ai vari ruoli individuati

durante la fase di emergenza.

5.4 Piano di attuazione

Una volta effettuata la progettazione della soluzione tecnica-organizzativa, definito e approvato il

piano di CO, occorre sviluppare il relativo piano di attuazione. Tale piano, coordinato dal

Responsabile della Continuità Operativa e attuato con il supporto delle parti interessate (interne o

esterne alla struttura), deve contemplare tutte le attività previste dal Piano di CO ed essere in linea

con i tempi implementativi descritti nello SFT che ha ottenuto l’approvazione del Comitato di Crisi.

Inoltre, per ogni attività riportata nel piano di attuazione, occorre individuarne la responsabilità

implementativa.



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


6 Attuazione

Ai fini della realizzazione del piano di attuazione del sistema di BCM precedentemente definito (cfr.

par. 5.4), occorre effettuare le seguenti attività, descritte nei paragrafi successivi:

Realizzare la soluzione tecnico/organizzativa individuata; Effettuare sessioni di comunicazione e formazione; Eseguire i test.

6.1 Realizzazione della soluzione tecnico/organizzativa definita

Nel realizzare la soluzione tecnica-organizzativa definita, nei modi e nei tempi previsti dal piano di

CO/DR e dal relativo piano di attuazione, la Struttura Sanitaria, dovrà garantire il rispetto della

normativa vigente in materia di appalti e garantire la necessaria apertura al mercato, ove intendesse

ricorrere a fornitori esterni per dotarsi, attraverso forniture o servizi, di soluzioni di CO/DR.

6.2 Comunicazione e formazione.

Fase cruciale per la buona riuscita del piano di CO/DR, è la formazione e sensibilizzazione del

personale interno della Struttura Sanitaria e delle eventuali terze parti interessate, sul tema della

continuità operativa, affinché ogni persona coinvolta, sia ben consapevole e addestrata sulle proprie

attività da svolgere in caso di emergenza.

Tale attività, promossa e coordinata dal Comitato di Crisi, deve essere effettuata attraverso il

coinvolgimento del Responsabile della Continuità Operativa, per la predisposizione di materiale

formativo, di checklist di verifica e soprattutto per l’organizzazione ed il coordinamento di sessioni di

simulazione di casi reali.




Data: 28/09/2020

Versione: n.1.0


informazioni.docx


6.3 Test e relative modalità

Al termine della fase di realizzazione della soluzione tecnica-organizzativa, occorre verificarne

l’efficacia e l’efficienza. A tal riguardo, il Responsabile della Continuità Operativa redige il piano di

test, approvato dal Comitato di Crisi, che preveda una simulazione di emergenza quanto più

esaustiva possibile.

Pertanto, occorre prevedere un test completo al fine di verificare, non solo le procedure, ma anche

l’effettiva attivazione delle risorse umane, delle infrastrutture fisiche e dei sistemi ICT, sempre a

fronte della simulazione di un’emergenza.

Un test di questo tipo richiede un’attenta predisposizione e un certo impegno da parte del

personale, ma garantisce la reale verifica della soluzione di continuità prevista nel Piano di CO/DR.

Per le modalità di svolgimento di tali test, fare riferimento a quanto descritto al paragrafo 7.1 del

presente documento.

7 Revisione

Un sistema di BCM deve essere sottoposto a regolare revisione, al fine di:

Verificarne l’efficacia, l’efficienza e l’adeguatezza rispetto agli obiettivi prefissati ed alle

politiche definite dalla Struttura Sanitaria; Identificarne le eventuali necessità di adeguamento, attuando le opportune azioni correttive

e di miglioramento.

L’attività di revisione del sistema di BCM si concretizza attraverso:

L’esecuzione di test ed esercitazioni simulate dei piani di CO/DR; La valutazione delle performance del sistema di BCM; Le Verifiche Interne di continuità operativa; Il mantenimento del Piano di CO/DR;




Data: 28/09/2020

Versione: n.1.0


informazioni.docx


Il Riesame della Direzione; Il miglioramento del sistema di BCM.

Le suddette attività di revisione sono descritte nei paragrafi successivi.

7.1 Test ed esercitazioni di CO/DR

I test e le esercitazioni di continuità operativa devono eseguire periodicamente (almeno una volta

l’anno, salvo diversa indicazione da parte del Comitato di Crisi) dalle parti interessate (interne od

esterne alla Struttura Sanitaria), e comunque ad ogni variazione dell’assetto tecnologico, tecnico,

organizzativo, normativo, dei rapporti contrattuali e dei trattamenti effettuati dalla Struttura

Sanitaria. Il Responsabile della Continuità Operativa pianifica e coordina l’esecuzione di tali attività.

Esse sono finalizzate a:

Verificare l’efficacia e l’efficienza del Processo di Gestione delle Emergenze ICT, dei Piani di

CO/DR e delle procedure a supporto; Verificare l’efficacia e l’efficienza della soluzione tecnica-organizzativa adottata; Verificare, in generale, che sia assicurato il corretto ripristino del funzionamento del sistema

informativo della Struttura Sanitaria; Valutare la preparazione dei gruppi di gestione della continuità operativa; Valutare l’efficacia del programma di awareness al fine di sviluppare e diffondere nella

Struttura Sanitaria, laddove necessario, la conoscenza e la sensibilità sulle tematiche di

Continuità Operativa/Disaster Recovery.

Le attività di test possono essere di tipo:

Organizzativo (ad esempio: Test del Processo di Gestione delle Emergenze, test dei Piani di

Continuità Operativa, ecc.); Logistico (ad esempio: prove di evacuazione degli edifici); Tecnologico (test di Disaster Recovery).

Tali test sono normalmente condotti secondo le seguenti modalità:

Una semplice verifica dell’effettiva disponibilità di tutto quanto si renderebbe necessario in

caso di emergenza (es. nomina responsabile CO, nomina Comitato di Crisi ICT, gestione delle



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


reperibilità, disponibili e funzionamento degli impianti del sito secondario, disponibilità delle

risorse elaborative e di rete). In questo caso deve essere preventivamente predisposta una

checklist che permetta di verificare quanto sopra. Questo tipo di test non garantisce che in

caso di emergenza non ci siano funzionalità non in linea con quanto previsto, ma è

facilmente eseguibile; Il cosiddetto test “walkthrough”: questo tipo di test si svolge con una simulazione (cioè,

senza attivazione fisica dei sistemi) eseguita con il supporto di tutto il personale previsto dal

Piano di CO/DR. Il test deve essere preparato con cura, soprattutto per descrivere lo scenario

di crisi ipotetico in relazione al quale ciascun partecipante, in funzione del rispettivo ruolo

previsto nel Piano, esegue le procedure definite per ognuna delle fasi indicate. Anche se più

complesso da organizzare, rispetto alla semplice verifica della disponibilità di risorse e

impianti, questo test non implica l’attivazione dei sistemi alternativi e può essere un modo

utile anche per la formazione e la verifica della preparazione del personale; Test degli impianti e delle risorse: in questo caso sono verificate le procedure, ma anche

l’effettiva attivazione delle risorse fisiche e ICT, sempre a fronte della simulazione di

un’emergenza. Un test di questo tipo richiede un’attenta predisposizione e un impegno da

parte del personale, ma garantisce la reale verifica della soluzione di continuità del Piano. Per

ognuna delle fasi dell’emergenza vanno programmate ed eseguite le attività previste. Un

altro test collegato al suddetto è il test effettuato senza preavviso alle risorse umane

interessate. Si tratta di una possibilità realmente fattibile solo in presenza di una alto livello

di professionalità del personale coinvolto. Naturalmente, un simile test si avvicina a quanto

effettivamente potrebbe accadere in caso di emergenza e permette quindi un livello di

garanzia della funzionalità della soluzione di continuità, estremamente alto.

La Struttura Sanitaria (o il fornitore, qualora venga richiesto un supporto esterno per svolgere i test),

dovrà predisporre il test al fine di simulare una “vera” condizione di emergenza/indisponibilità

prolungata e, al fine di non compromettere i dati di produzione a seguito delle simulazioni, dovrà

predisporre copie dei dati ad uso esclusivo della simulazione che saranno cancellate con modalità

sicura, al termine dei test. L’avvenuta cancellazione di dette copie dei dati sarà verificata in

contraddittorio dalle parti nei modi e tempi che saranno indicati.



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


Il test potrà essere articolato secondo le seguenti macro fasi, da definire operativamente nella

documentazione annessa al Piano di CO/DR:

Messa a disposizione e verifica di tutta la documentazione procedurale e tecnica connessa ai

servizi di CO/DR; Attivazione e ripartenza dei sistemi nel sito di DR; Verifica delle funzionalità di base degli ambienti elaborativi; Verifica dell’allineamento e della congruità dei dati tra il sito primario di produzione e il sito

di DR; Verifica dell’operatività dell’infrastruttura di rete; Verifica della corretta distribuzione delle rotte IP tra gli apparati di rete; Verifica connettività tra il sito di DR e il sito primario di produzione; Attivazione dei sottosistemi applicativi; Test applicativi.

Il piano relativo ai suddetti test ed i risultati derivanti dalla sua attuazione devono essere formalizzati

per iscritto tramite ad esempio il verbale di test e il documento di tracciatura dell’esito delle prove

effettuate. Il Comitato di Crisi deve approvare il piano di test esaminando altresì i risultati dei test

eseguiti. Tale documentazione sarà analizzata nell’ambito delle fasi di Riesame della Direzione (cfr.

par. 7.4 e di Miglioramento del sistema di BMC (cfr. par. 7.6), al fine di indirizzare le opportune azioni

correttive e/o di miglioramento.

7.2 Valutazione delle performance del sistema di BCM

La valutazione delle performance del sistema di BCM deve essere effettuata con periodicità almeno

annuale da parte del Responsabile della Continuità Operativa. A tale scopo, è opportuno predisporre

una procedura che descriva il processo monitoraggio, misurazione, analisi e valutazione delle

performance del sistema di BCM. La procedura deve descrivere, come minimo:

Cosa deve essere monitorato e misurato; I metodi da utilizzare per il monitoraggio, la misurazione, l’analisi e la valutazione; Le tempistiche per il monitoraggio e la misurazione; Le tempistiche per l’analisi e la valutazione dei risultati prodotti dal monitoraggio e dalla

misurazione; Le metriche utilizzate per la definizione/misurazione dei Key Performance Indicator (KPI)

individuati, in termini di modalità di calcolo, soglia attesa e frequenza di misurazione;



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


Come i risultati delle suddette attività devono essere opportunamente documentati.

La Struttura Sanitaria deve conservare la documentazione che attesti i risultati emersi dalla

valutazione delle performance del sistema di BCM, con evidenza delle eventuali non conformità

rispetto ai risultati attesi. Tale documentazione sarà analizzata nell’ambito delle fasi di Riesame della

Direzione (cfr. par. 7.4) e di Miglioramento del sistema di BMC (cfr. par. 7.6), al fine di indirizzare le

opportune azioni correttive e/o di miglioramento.

7.3 Verifiche Interne

Con cadenza almeno annuale, il Referente delle Verifiche Interne della struttura Sanitaria, deve

predisporre il Piano annuale delle verifiche interne di continuità operativa, e provvedere alla loro

esecuzione.

Tali verifiche sono finalizzate a verificare:

la conformità del sistema di BCM ai requisiti di continuità formulati dalla Struttura Sanitaria e

a quanto previsto dalla normativa vigente applicabile; l’effettiva implementazione e manutenzione del sistema di BCM.

A tal riguardo, occorre:

pianificare, definire, implementare e manutenere un programma di verifica interna legato

alla tematica della continuità operativa, comprensivo di metodi, responsabilità, requisiti di

pianificazione e reportistica; definire, per ogni verifica, l’ambito ed i criteri utilizzati; basarsi sui risultati delle precedenti verifiche interne e delle attività di Risk Assessment in

oggetto al presente documento (cfr. par. 4.2); assicurare l’obiettività e l’imparzialità del personale incaricato all’esecuzione della verifica

interna; assicurare che i risultati di tali verifiche siano documentati e riportati al Comitato di Crisi, al

fine di approvare le eventuali azioni correttive necessarie.

I risultati delle verifiche interne di continuità operativa devono essere documentati, evidenziando le

eventuali non conformità riscontrate e/o le raccomandazioni di miglioramento emerse. Tale



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


documentazione sarà analizzata nell’ambito delle fasi di Riesame della Direzione (cfr. par. 7.4) e di

Miglioramento del sistema di BMC (cfr. par. 7.6), al fine di indirizzare le opportune azioni correttive

e/o di miglioramento.

7.4 Mantenimento del Piano di CO/DR

Il Piano di CO deve essere aggiornato almeno una volta all’anno e comunque ad ogni variazione

significativa dell’assetto tecnologico, tecnico, organizzativo, normativo, dei rapporti contrattuali e dei

trattamenti effettuati dalla Struttura Sanitaria. Il piano di CO, aggiornato da parte del Responsabile

della Continuità Operativa, deve essere vagliato ed approvato dal Comitato di Crisi, nel corso della

riunione periodica (almeno annuale) indetta dal Responsabile della Continuità Operativa. In

particolare, sulla base dei dati raccolti durante le attività di Revisione del sistema di BCM (cfr. cap. 7),

il Comitato di Crisi valuta la conformità del Piano di CO e in base a questa, ne dichiara l'accettazione,

preoccupandosi di mettere agli atti tale decisione e di notificare l’approvazione a tutte le parti

interessate (interne ed esterne).

Il Piano di DR, inteso come la sezione del Piano di CO che descrive le attività di ripristino del sistema

informativo dovrà essere aggiornato almeno una volta all'anno e comunque ad ogni variazione

significativa dell’assetto tecnologico, tecnico, organizzativo, normativo, dei rapporti contrattuali e dei

trattamenti effettuati dalla Struttura Sanitaria.

Si riportano di seguito, a titolo esemplificativo, alcune tipologie di eventi che devono essere presi in

considerazione per l’aggiornamento del Piano di CO/DR:

Modifiche nella composizione delle strutture organizzative (es. Comitato di Crisi,

Responsabile CO ICT, gruppi di supporto) coinvolte nella gestione della continuità operativa; Modifiche nei dati personali e/o di reperibilità del personale coinvolto; Modifiche dei fornitori e/o del contratto assicurativo; Modifiche dei servizi o delle applicazioni software (aggiunta/modifica/eliminazione di

applicazioni, variazioni nella criticità delle applicazioni); Modifiche nell’hardware e/o nella rete; Modifiche nella logistica; Stipula di nuovi contratti; Modifica delle normative applicabili.



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


Il verificarsi di uno o più di questi eventi, o comunque di un qualsiasi evento che possa incidere

sull’efficacia del Piano di CO/DR, richiede quindi un’attenta analisi per valutare la necessità di

apportare modifiche al Piano stesso.

7.5 Riesame della Direzione

Il riesame della direzione, effettuato con cadenza almeno annuale da parte del Comitato di Crisi, ha

l’obiettivo di assicurare nel tempo l’adeguatezza e l’efficacia del sistema di BCM attuato.

Gli elementi in ingresso al riesame della direzione comprendono:

Lo stato di avanzamento delle azioni e delle raccomandazione per il miglioramento previste

dai precedenti riesami della direzione; I cambiamenti dei fattori interni ed esterni che hanno attinenza con il sistema di BMC,

comprese le evoluzioni delle prescrizioni legali e delle altre prescrizioni relative ai propri

aspetti ambientali; I risultati delle valutazioni sul rispetto delle prescrizioni legali e delle altre prescrizioni che

l’organizzazione sottoscrive; I risultati delle attività di Revisione del sistema di BCM, comprensivi dei seguenti andamenti:

o Risultati del monitoraggio e della misurazione delle performance;o Risultati delle verifiche interne;o Risultati dei test e delle esercitazioni periodiche.

Il Piano di CO/DR; Le informazioni di ritorno comunicazioni provenienti dalle parti interessate esterne, compresi

i reclami; I risultati delle attività di RA/RT; Ogni cambiamento, interno ed esterno, che può avere effetto sull’ambito del sistema di BCM Le raccomandazioni per il miglioramento continuo; Tecniche, prodotti e procedure che possono essere utilizzate dalla Struttura Sanitaria per

migliorare le prestazioni e l’efficacia del sistema di BCM; Adeguatezza delle Politiche della Struttura Sanitaria; Eventuali standard e best practice emergenti; Lesson learned derivate da incidenti distruttivi.



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


Gli elementi in uscita al Riesame della Direzione devono comprendere decisioni relative alle

opportunità per il miglioramento continuo ed ogni necessità di modifica al sistema di BCM, quali ad

esempio:

Modifiche all’ambito del sistema di BCM; Miglioramento dell’efficacia del sistema di BCM; Aggiornamento del RA, BIA, Piano di CO/DR e relative procedure; Modifiche a procedure e controlli per rispondere ad eventi interni o esterni alla Struttura

Sanitaria, che possono aver impatto sul suo sistema di BCM, inclusi i seguenti cambiamenti:o Missione della Struttura Sanitaria;o Riduzione del rischio e requisiti di sicurezza;o Condizioni ambientali (es. evoluzione del contesto organizzativo, tecnologico) e

processi;o Requisiti legali e normativi;o Obblighi contrattuali;o Livello di rischio e/o criteri per l’accettazione del rischio;o Necessità legate alle risorse;o Requisiti finanziari.

Modifica dei criteri di misurazione dell’efficacia delle misure di continuità.

I risultati del riesame della direzione devono essere comunicati a tutte le parti (interne ed esterne)

interessate. La Struttura Sanitaria deve inoltre conservare informazioni documentate quali evidenza

dei risultati del riesame della direzione. Tale documentazione sarà analizzata nell’ambito della fase di

Miglioramento del sistema di BMC (cfr. par. 7.5), al fine di indirizzare le opportune azioni correttive

e/o di miglioramento.

7.6 Miglioramento

Nel corso dello svolgimento di attività legate principalmente ai Test ed alle esercitazioni di CO/DR

(cfr. par. 7.1), alla Valutazione delle performance (cfr. par. 7.2), alle Verifiche Interne (cfr. par. 7.3), al

Riesame della Direzione (cfr. par. 7.4), possono emergere delle non conformità o delle aree di

miglioramento.



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


Nel caso in cui venga rilevata una non conformità, il Responsabile della Continuità Operativa deve

coordinare ed indirizzare le parti interessate (interne od esterne alla Struttura Sanitaria), affinché

eseguano le seguenti attività:

Reazione alla non conformità e, per quanto applicabile, attuazione delle azioni di

contenimento a fronte della non conformità e gestione delle conseguenze; Valutazione della necessità di azioni correttive per eliminare le cause della non conformità

(root cause analysis), in modo che non si ripeta o non accada altrove. Le azioni correttive

devono essere adeguate agli effetti delle non conformità riscontrate.

Nel caso invece, in cui venga evidenziata un’area di miglioramento, il Responsabile della Continuità

Operativa deve coordinare ed indirizzare le parti interessate (interne od esterne alla Struttura

Sanitaria) al fine di individuare le opportune azioni di miglioramento.

Le azioni correttive e di miglioramento individuate, devono essere sottoposte all’approvazione del

Comitato di Crisi. A valle di tale approvazione, il Responsabile della Continuità Operativa deve,

anche con il supporto le parti interessate (interne od esterne alla Struttura Sanitaria):

Identificare, per ogni azione individuata, il responsabile dell’attuazione, i tempi e le risorse

necessarie per la relativa implementazione; Attuare l’azione e verificarne l’efficacia; Attuare, se necessario, modifiche al sistema di BCM; Conservare la documentazione, quale evidenza della natura delle non conformità rilevate,

delle aree di miglioramento, delle azioni correttive/di miglioramento intraprese e delle

relative verifiche di efficacia effettuate.

8 Allegati

8.1 Allegato 3 – Supporto all’individuazione della soluzione tecnologica e delle soluzioni

tecniche.

Al fine di fornire un supporto all’individuazione delle soluzioni di continuità operativa/disaster

recovery, si è proceduto ad individuare delle soluzioni tecnologiche, indicate convenzionalmente

come Tier 1, Tier 2, …, Tier 6, di seguito descritte. Ogni soluzione tecnologica può essere realizzata



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


secondo una o più soluzioni tecniche. Ne deriva che la “soluzione” di continuità operativa sarà

individuata dalla soluzione tecnologica e dalla soluzione tecnica.

Le tipologie di soluzioni elencate di seguito sono definite in senso generale con riguardo alle

funzionalità richieste e/o da assicurare e come tali non fanno riferimento a specifiche tecnologie e/o

prodotti o soluzioni di mercato.

Tier 1: è la soluzione minimale. Prevede il backup dei dati presso un altro sito tramite

trasporto di supporto (nastro, o altro dispositivo). I dati sono conservati presso il sito remoto.

In tale sito deve essere prevista la disponibilità, in caso di emergenza, sia dello storage disco

dove riversare i dati conservati, sia di un sistema elaborativo in grado di permettere il

ripristino delle funzionalità ICT. Nel caso di affidamento del servizio di custodia ad un

fornitore, tale disponibilità deve essere regolamentata contrattualmente.

Per questa soluzione:

o potrebbero non essere presenti procedure di verifica della presenza dei dati sul

supporto, della coerenza dei dati ed esistere un’unica copia storage; o la disponibilità dei dispositivi (storage disco e sistemi di elaborazione) potrebbe

prevedere tempi non brevi (anche più settimane per l’assegnazione da parte del

fornitore); o la disponibilità dei dispositivi potrebbe non garantire le performance rispetto al

sistema primario; o la disponibilità dei dispositivi potrebbe essere assegnata per un periodo di tempo

limitato.

Poiché i dati salvati possono essere relativi all’intera immagine dello storage primario o solo

ai dati delle elaborazioni, la disponibilità dei dispositivi ausiliari deve essere chiaramente

definita in termini di ambiente hardware e software di riferimento.

Vengono quindi assicurate l’esecuzione e conservazione dei backup e, per i casi in cui si

renda necessario assicurare il ripristino, la disponibilità di un sito “vuoto” attrezzato, pronto a



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


ricevere le componenti e configurazioni necessarie, ove fosse richiesto, per far fronte

all’emergenza (on demand).

Tier 2: la soluzione è simile a quella del Tier 1, con la differenza che le risorse elaborative

possono essere disponibili in tempi sensibilmente più brevi, viene garantito anche

l’allineamento delle performance rispetto ai sistemi primari ed esiste la possibilità di

prorogare, per un tempo limitato, la disponibilità delle risorse elaborative oltre il massimo

periodo di base. Vengono inoltre assicurate l’esecuzione e conservazione dei backup e la

disponibilità presso il sito dei sistemi e delle configurazioni da poter utilizzare per i casi in cui

si renda necessario il ripristino. Tier 3: la soluzione è simile a quella del Tier 2, con la differenza che il trasferimento dei dati

dal sito primario e quello di DR avviene attraverso un collegamento di rete tra i due siti.

Questa soluzione, che può prevedere tempi di ripristino più veloci rispetto ai Tier precedenti,

rende necessario dotarsi di collegamenti di rete con adeguati parametri di disponibilità,

velocità di trasferimento e sicurezza (sia della linea, sia delle caratteristiche dipendenti dalla

quantità di dati da trasportare) e va periodicamente verificato l’allineamento dei dati.

Tier 4: la soluzione prevede che le risorse elaborative, garantite coerenti con quelle del

centro primario, siano sempre disponibili, permettendo la ripartenza delle funzionalità in

tempi rapidi. Le altre caratteristiche sono quelle del Tier 3, con la possibilità di

aggiornamento dei dati (RPO) con frequenza molto alta, ma non bloccante per le attività

transazionali del centro primario (aggiornamento asincrono).

Tier 5: la soluzione è analoga a quella del Tier 4, con la differenza che l’aggiornamento finale

dei dati avviene solo quando entrambi i siti hanno eseguito e completato i rispettivi

aggiornamenti (aggiornamento sincrono). Allo stato attuale della tecnologia questa soluzione

non può prescindere dalle caratteristiche della connettività sia in termini di distanza, sia in

termini di latenza; ne consegue che tale modalità (sincronizzazione), nonché l’eventuale

bilanciamento geografico del carico di lavoro, risulta difficile oltre significative distanze

fisiche fra sito primario e secondario. Debbono essere attentamente valutati se sussistono,



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


per aspetti tecnologici, vincoli di operatività del sito primario in caso di problemi su quello

secondario. È quindi fondamentale, per questa tipologia di soluzione, valutare la distanza fra

i siti.

Tier 6: la soluzione prevede che nel sito di DR le risorse elaborative, oltre ad essere sempre

attive, siano funzionalmente “speculari” a quelle del sito primario, rendendo così possibile

ripristinare l’operatività dell’IT in tempi molto ristretti. Le altre caratteristiche sono uguali a

quelle del Tier 5. È fondamentale, per questa tipologia di soluzione, valutare la distanza fra i

siti.

L’Analisi effettuata in fase di Assessment (cfr. par. 4) dovrebbe condurre all’individuazione dei Tier

più adatti, ferma restando possibilità di decidere soluzioni, modalità di backup e ripristino più

elevate di quelle minimali associate allo specifico Tier.

Possono, infatti, coesistere diverse soluzioni, la scelta delle quali dipende da ulteriori fattori legati al

contesto organizzativo e/o tecnologico nonché finanziario di riferimento, ove ad esempio il profilo

finanziario comporti un ostacolo all’adozione della soluzione più adeguata ai risultati dell’analisi

effettuata in fase di Assessment.

Nell’individuazione della soluzione che si intende adottare è opportuno individuare la strategia di

salvataggio dei dati ad esempio: locale/remoto, on-line/off-line; il tipo di trasferimento e la

periodicità; il tipo di salvataggio (totale/incrementale); le modalità di conservazione.

Ove si intenda dotarsi di un sito secondario, è necessario considerare:

le caratteristiche dei collegamenti tra il sito primario ed il secondario, in termini di capacità di

trasmissione, di disponibilità, di ridondanza e possibilità di collegamenti alternativi, ponendo

attenzione in merito a come tali caratteristiche permettano di soddisfare in maniera totale o

parziale le esigenze del servizio; Le modalità di recupero dei dati e di verifica della loro consistenza e completezza; Se e come il trattamento effettuato tramite i servizi ICT presenti nel sito secondario abbia le

stesse caratteristiche di quello primario;



Data: 28/09/2020

Versione: n.1.0


informazioni.docx


Le modalità di test del DR.

Indipendentemente dal tipo di soluzione che si intenda adottare, essa deve sempre assicurare la

conformità con quanto previsto dal GDPR [1] in relazione alla protezione dei dati personali trattati

dalla Struttura Sanitaria.

Al fine di fornire un supporto all’individuazione dell’opportuno Tier, tra quelli precedentemente

delineati e descritti, si riportano nella seguente tabella, a titolo esemplificativo e non esaustivo, il

livello e gli elementi di massima dei suddetti Tier in relazione ai valori di RTO ed RPO individuati

nella fase di Assessment (cfr. par. 4) ed in particolare nell’esecuzione della BIA (cfr. par. 4.1).

INDICATORI (BIA)LIVELLI DELLESOLUZIONITECNOLOGICHE

ELEMENTI DI MASSIMA DELLA SOLUZIONE TECNICA(soluzioni con almeno due siti)

RTORPOMax

TIER

Descrizionebreve

Modalità minime dicopia/aggiornamentoper il conseguimentodei valori max di RPO

Aspetti minimali connessi al sito di DRMin Max

7g >7g 7g 1 Cold Site - Databackup

Copia su supportirimuovibili

Sito esistente ma da attrezzare conrisorse elaborative/ server soloreperibili.Il sito di DR è predisposto ad accoglierepersonale e apparecchiature, ma rimaneprivo di risorse fino al momento dieffettiva necessità.Di solito consiste solo di un ambientefisico dotato di corrente elettrica e direte dati con idonee misure di sicurezza(es: sistema antincendio ed antifumo;sistema antiallagamento; sistema dialimentazione in grado di garantirel’erogazione di energia elettrica anche afronte di prolungate interruzioni dialimentazione nella cabina di fornitura;sistema d’aria condizionata per garantiretemperatura e umidità costante;impianto per il ricambio d'aria; sistemadi accesso controllato).

3g 7g 7g 2 Warm Site Copia su supportirimuovibili

Il sito dispone di hw e connettività giàfunzionante ma su scala inferiorerispetto al sito principale o a un sito



Data: 28/09/2020

Versione: n.1.0


informazioni.docx




RTORPOMax

TIER

Descrizionebreve


Aspetti minimali connessi al sito di DRalter-nativo sempre disponibile e conreplica costante dei dati.

1g 3g 1g 3 Warm Site -ElectronicVaulting

Electronic vaulting:soluzione checomporta il backupdei dati presso il sitoalternativo in manieraelettronica, con unariduzione del temponecessario per iltrasporto dei dati e lapossibilità di unrecovery time piùveloce.

Il sito dispone di hardware e connettivitàgià funzionante ma su scala inferiorerispetto al sito principale o ad un sitealternativo sempre disponibile e conreplica costante dei dati.Il backup avviene in modalità elettronicae quindi sono necessari collegamenti frai siti tenuto conto della tipologia,quantità e periodicità dei dati di cuieffettuare il backup.

4h 3g 4h 4 Hot Site - Twoactive sites(scheduledreplicas)

Replica Asincrona Online(risorsa storageaccesa)

Il sito alternative è solitamente “unduplicato” del sito originale con tutti isistemi hardware e la quasi totalità deibackup di dati disponibile. Il sitoalternativo può essere pronto edoperativo in alcune ore o meno. Nelcaso in cui il personale deve esserespostato fisicamente presso il sitosecondario, il sito risulterà operativosolo dal punto di vista del dataprocessing. La piena operatività saràraggiunta quando anche il personaleavrà raggiunto il sito.

1h 4h 5min 5 Continuous -Two phasecommit(synchronous)

Replica Sincrona(risorsa storageaccesa)

È la soluzione che prevede due siti attiviciascuno con capacità sufficiente aprendere in carico il lavoro dell’altro e incui l’aggiornamento del dato avvienesolo quando entrambi i siti hannocompletato l’update (con perdita dei solii dati che in quel momento stanno peressere processati). È fondamentale, perquesta tipologia di soluzione, valutare ladistanza fra i siti.

0min

1h 0min 6 Continuous -Zero data loss(active, loadbalanced)

Replica Sincrona(risorsa storageaccesa)

È la soluzione che prevede due siti attivi,ognuno dei quali possiede capacitàsufficienti a farsi carico del lavorodell’altro; in questa soluzione il carico dilavoro da un sito all’altro si trasferisce



Data: 28/09/2020

Versione: n.1.0


informazioni.docx




RTORPOMax

TIER

Descrizionebreve


Aspetti minimali connessi al sito di DRimmediatamente ed automaticamente.È fondamentale, per questa tipologia disoluzione, valutare la distanza fra i siti.

Tabella 3 – Soluzioni tecnologiche (Tier)


linea guida per la continuitÀ operativa dei sistemi e

Documents