linea guida per la continuitÀ operativa dei sistemi e
TRANSCRIPT
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 1/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
LINEA GUIDA PER LA CONTINUITÀ OPERATIVA DEI
SISTEMI E DELLE INFORMAZIONI
Autore/i: Alessandra Schintu Cybermind S.r.l.
Rivisto Da Alessandra Vitagliozzi Cybermind S.r.l.
Approvato Da: Carmine Maraio, Helga Fineo Sistemi Informativi S.p.A., IBM S.p.A.
Accettato Da: Alberto Genovese So.Re.Sa. S.p.A.
Storia del documento
Data Versione Descrizione modifiche Autore
Sommari
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 2/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
1 Generalità........................................................................................................................................................4
1.1 Scopo e ambito di applicazione..........................................................................................................4
1.2 Documenti di riferimento...................................................................................................................4
1.3 Definizioni...........................................................................................................................................5
1.4 Acronimi..............................................................................................................................................7
2 Principi generali...............................................................................................................................................9
3 Definizione.....................................................................................................................................................12
3.1 Ambito del sistema di BCM...............................................................................................................12
3.2 Politica per la Continuità Operativa..................................................................................................13
3.3 Organizzazione, ruoli e responsabilità del sistema di BCM..............................................................14
4 Assessment....................................................................................................................................................20
4.1 Business Impact Analysis..................................................................................................................20
4.2 Risk Assessment e Risk Treatment....................................................................................................23
5 Pianificazione.................................................................................................................................................25
5.1 Definizione della strategia di continuità operativa...........................................................................25
5.2 Analisi di fattibilità e progettazione soluzione tecnica/organizzativa...............................................26
5.2.1 Analisi di fattibilità tecnica.........................................................................................................26
5.2.2 Progettazione soluzione tecnica-organizzativa..........................................................................27
5.3 Piano di CO/DR..................................................................................................................................28
5.4 Piano di attuazione...........................................................................................................................31
6 Attuazione......................................................................................................................................................31
6.1 Realizzazione della soluzione tecnico/organizzativa definita...........................................................31
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 3/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
6.2 Comunicazione e formazione...........................................................................................................32
6.3 Test e relative modalità.....................................................................................................................32
7 Revisione........................................................................................................................................................33
7.1 Test ed esercitazioni di CO/DR..........................................................................................................33
7.2 Valutazione delle performance del sistema di BCM.........................................................................36
7.3 Verifiche Interne...............................................................................................................................37
7.4 Mantenimento del Piano di CO/DR..................................................................................................38
7.5 Riesame della Direzione....................................................................................................................39
7.6 Miglioramento..................................................................................................................................41
8 Allegati..........................................................................................................................................................42
8.1 Allegato 3 – Supporto all’individuazione della soluzione tecnologica e delle soluzioni tecniche....42
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 4/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
1 Generalità
1.1 Scopo e ambito di applicazione
Ai sensi dell’art. 32 del GDPR [1], la continuità operativa è intesa come la capacità di
un’Organizzazione di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in
caso di incidente fisico o tecnico.
L’Obiettivo della presente Linea Guida è quello di indirizzare la progettazione e l’implementazione di
un sistema di gestione della continuità operativa (di seguito sistema di BCM) a supporto del
trattamento dei dati personali effettuato ai sensi del GDPR [1].
Tali linee guida costituiscono i requisiti di base che devono essere rispettati per garantire la
continuità operativa degli asset ICT che trattano dati personali [1] e che, in quanto tali, in virtù delle
specifiche caratteristiche del contesto operativo cui si applicano, possono essere incrementati nei
casi in cui siano richiesti livelli di sicurezza più stringenti.
Gli indirizzamenti definiti nel presente documento si applicano a tutti gli asset ICT [15] della
Struttura Sanitaria utilizzati a supporto dei trattamenti di dati personali effettuati ai sensi del GDPR
[1]. Per quanto applicabile, tali indirizzamenti si intendono estesi anche ai servizi in Cloud.
1.2 Documenti di riferimento
[1] Regolamento (UE) 679/2016 (GDPR); [2] D.lgs. 82/2005 – Codice dell’Amministrazione Digitale (CAD) e s.m.i[3] ISO/IEC 27002:2013 “Code of practice for information security controls", 01/10/2013[4] ISO/IEC 27001:2017 “Information technology — Security techniques — Information security
management systems - Requirements”, 2017-03[5] AgID “Linee Guida per il Disaster Recovery delle Pubbliche Amministrazioni”, Agg.to 2013 [6] AgID “Linee Guida razionalizzazione infrastruttura digitale della PA”, 2013[7] ISO 22301:2019 “Societal security – Business continuity management systems –
Requirements”[8] ISO 22313:2020 “Societal security – Business continuity management systems. Guidance”[9] ISO 22300:2018 “Societal security – Business continuity management systems. Terminology”[10] Information Technology Infrastructure Library (ITIL) v3[11] NIST SP 800-34 “Contingency Planning Guide for Federal Information Systems”
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 5/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
[12] Linee guida per la conduzione delle attività di Data Protection Impact Assessment[13] Linee Guida per la Classificazione delle Informazioni e dei Trattamenti[14] Registro dei trattamenti[15] ICT Asset Inventory
1.3 Definizioni
Definizioni DescrizioneAgenzia per l’Italia Digitale (AgID)
L'Agenzia per l'Italia Digitale (AgID) coordina le azioni in materia di innovazione per promuovere le tecnologie ICT a supporto della pubblica amministrazione, garantendo la realizzazione degli obiettivi dell’Agenda digitale italiana in coerenza con l’Agenda digitale europea.
Asset ICT Si intendono le risorse informatiche dell’Organizzazione (es. PC, server, apparati di rete, apparati di sicurezza, software di base, software applicativo, software middleware, ecc.), a supporto del trattamento dei dati personali ai sensi del GDPR [1].
Azione Correttiva È una un’azione definita e finalizzata ad eliminare la causa di una non conformità, e a prevenirne il riaccadimento.
Business Impact Analysis (BIA)
La metodologia da utilizzare al fine di determinare le conseguenze derivanti dal verificarsi di un evento e di valutare l’impatto di tale evento sull’operatività dell’Organizzazione.
Continuità Operativa ICT (CO)
La capacità di un Organizzazione di adottare - per ciascun processo critico e per ciascun servizio istituzionale critico erogato in modalità ICT, attraverso accorgimenti, procedure e soluzioni tecnico-organizzative - misure di reazione e contenimento ad eventi imprevisti che possono compromettere, anche parzialmente, all’interno o all’esterno dell’Organizzazione, il normale funzionamento dei servizi e funzioni istituzionali. Il processo ICT è un caso tipico di processo critico.
Disaster recovery (DR)
L’insieme delle misure tecniche e organizzative adottate per assicurare all’Organizzazione il funzionamento del centro elaborazione dati e delle procedure e applicazioni informatiche dell’Organizzazione stessa, in siti alternativi a quelli primari/di produzione, a fronte di eventi che provochino, o possano provocare, indisponibilità prolungate.
Disastro L’effetto di un evento improvviso che ha come impatto gravi e prolungati danni e/o perdite per l’Organizzazione.
Piano di ContinuitàOperativa o Piano di Business Continuity (PCO)
Documento operativo che descrive tutte le attività e modalità finalizzate al ripristino delle funzionalità ICT, a seguito di un evento negativo di significativa rilevanza, che determini l’indisponibilità dei servizi critici individuati dall’Organizzazione; per una realtà di dimensioni limitate, soprattutto sotto il profilo ICT, il Piano di Continuità Operativa ICT e il Piano di DR possono coincidere ma dovrà comunque essere presente la componente dedicata al Disaster Recovery. In realtà particolarmente
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 6/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
Definizioni Descrizionecomplesse, all’opposto, il piano di continuità può essere solo un documento di primo livello, cui vanno associati, per esempio, documenti di secondo livello, quali procedure relative a servizi e/o sistemi specifici (ad esempio il Piano di Disaster Recovery) e finanche documenti di terzo livello, per esempio sotto la forma di istruzioni di lavoro che riportano le indicazioni operative specifiche.
Piano di Disaster Recovery (PDR/DRP)
Documento operativo che descrive tutte le attività necessarie a garantire, a fronte di un evento negativo di significativa rilevanza, che determini l’indisponibilità delle funzioni ICT a supporto dei servizi/processi critici individuati dall’Organizzazione, il ripristino delle stesse, entro un arco temporale predefinito, tale da rendere, il più possibile, minime le interruzioninell’erogazione dei servizi. Si evidenzia che il PDR/DRP è la sezione del PCO che descrive le attività di ripristino del sistema informativo, costituisce parte integrante del PCO e stabilisce le misure tecniche ed organizzative per assicurare l’erogazione dei servizi classificati come critici (e delle procedure e applicazioni informatiche correlate) tramite le risorse hw, sw e di connettivitàpresso un CED alternativo a quello/quelli di produzione.
Risk Assessment (RA)
L’analisi per determinare il valore dei rischi di accadimento di un evento che possa interrompere l’erogazione di un servizio.
Risk Treatment (RT)
Trattamento del rischio a valle della sua individuazione (RA) al fine di contenerlo entro limiti accettabili per l’Organizzazione.
Recovery Point Objective (RPO)
Indica la perdita dati tollerata: rappresenta il massimo tempo che intercorre tra la produzione di un dato e la sua messa in sicurezza (ad esempio attraverso backup) e, conseguentemente, fornisce la misura della massima quantità di dati che il sistema può perdere a causa di un evento imprevisto.
Recovery Time Objective (RTO)
Indica il tempo di ripristino del servizio: è la durata di tempo entro il quale unprocesso critico ovvero il Sistema Informativo primario deve essere ripristinato dopo un disastro o una condizione di emergenza (o interruzione),al fine di evitare conseguenze inaccettabili.
Soluzione Tecnologica per la CO/DR (Tier)
Tipologia di soluzione tecnologica per la CO/DR, individuata in fase di BIA. La tipologia è articolata in sei livelli (“Tier”), utili a ottenere valori progressivamente inferiori di RTO e RPO. Generalmente, si parla di Soluzione Tecnologia quando ci si vuol riferire alla sua classificazione (es. Tier 1, Tier 2). Ogni soluzione tecnologica può essere realizzata tramite una o più “soluzioni tecniche-organizzative”.
Soluzione Tecnica-organizzativa per la CO/DR
Rappresenta la soluzione ICT da implementare per il soddisfacimento del Tierindividuato in fase di BIA per assicurare la CO/DR.
Studio di fattibilitàtecnica (SFT)
Lo studio sulla base del quale l’Organizzazione deve adottare il PCO e il PDR.
Tier Letteralmente, livello, grado. Nel presente documento il termine viene
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 7/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
Definizioni Descrizioneutilizzato nell’accezione di tipologie di soluzioni tecnologiche per la CO/DR, articolate in 6 livelli (“Tier”), utili al raggiungimento di valori progressivamente inferiori di RTO e RPO [5].
Tabella 1 – Definizioni
1.4 Acronimi
Acronimo DescrizioneBC Business ContinuityBCM Business Continuity ManagementBIA Business Impact AnalysisCED Centro Elaborazione DatiCO Continuità OperativaDR Disaster RecoveryGDPR General Data Protection RegulationICT Information & Communication TechnologyPCO Piano di Continuità OperativaPDR/DRP Piano di Disaster Recovery/Disaster Recovery PlanRA Risk AssessmentRPO Recovery Point ObjectiveRT Risk TreatmentRTO Recovery Time ObjectiveSFT Studio di fattibilità tecnica
Tabella 2 – Acronimi
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 8/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
2 Principi generali
I dati personali ai sensi del GDPR [1] ed i sistemi ICT che li trattano, sono ormai parte essenziale ed
indispensabile per lo svolgimento delle funzioni istituzionali di un’Organizzazione, ed è necessario
quindi garantirne la sicurezza attraverso la salvaguardia della confidenzialità, dell’integrità e non
ultimo della disponibilità.
Il tema della continuità operativa, intesa come l’insieme di attività volte a minimizzare gli effetti
distruttivi, o comunque dannosi, di un evento che ha colpito un’Organizzazione o parte di essa,
garantendo la continuità delle attività in generale, deve quindi essere parte integrante dei processi e
delle politiche di sicurezza di un’Organizzazione.
In quest’ottica l’art. 32 del GDPR [1], prevede che l’Organizzazione adotti misure tecniche e
organizzative adeguate a garantire la capacità di ripristinare tempestivamente la disponibilità e
l’accesso dei dati personali in caso di incidente fisico o tecnico;
Da quanto detto, ne consegue che la continuità dei servizi informatici in ambito al presente
documento, rappresenta un impegno inderogabile per la Struttura Sanitaria che deve operare in
modo da limitare al massimo, gli effetti negativi di possibili fermi prolungati dei servizi ICT a
supporto dei suddetti trattamenti.
Un adeguato livello di continuità operativa può essere raggiunto, tramite l’adozione di un sistema di
BCM, che sia in linea con gli standard di riferimento [7], nonché con quanto previsto dalle normative
applicabili [1][2].
Tale sistema, si basa su un modello organizzato in cinque fasi, rappresentate nella figura seguente:
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 9/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
Figura 1 Modello del Sistema di BCM
Il modello è articolato nelle seguenti fasi:
Definizione: prevede l’individuazione dell’ambito del sistema di BCM in termini di struttureorganizzative, terze parti interessate, trattamenti effettuati, politiche e infrastrutture (anchetecnologiche) a supporto;
Assessment: prevede l’analisi dei trattamenti di dati personali effettuati da parte dellaStruttura Sanitaria ai sensi del GDPR [1], attraverso l’ausilio dei sistemi ICT, nonché l’analisidegli impatti in situazioni di indisponibilità e l’analisi del rischio per l’individuazione delle areecritiche e delle contromisure da adottare;
Pianificazione: prevede la progettazione e la pianificazione di un sistema di BCM capace diassicurare la continuità operativa dei trattamenti precedentemente individuati. Laprogettazione riguarda sia aspetti organizzativi che tecnologici;
Attuazione: prevede l’implementazione del sistema di BCM progettato, con particolareattenzione agli aspetti di comunicazione/sensibilizzazione e di formazione specifica delpersonale sulle procedure e sui piani di CO/DR;
Revisione: prevede il monitoraggio dell’efficacia/efficienza del sistema di BCM implementato,attraverso test e simulazioni dei piani, valutazioni delle performance, verifiche interne diadeguatezza, mantenimento del Piano di CO/DR e riesame della direzione. Tale fase prevede
Store: Print date: Codice di riservatezza
Sistema di
BCM
1. Definizione
2. Assessment
3. Pianificazione4. Attuazione
5. Revisione
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 10/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
inoltre l’evoluzione del sistema in relazione ai feedback derivanti dalle suddette attività e daeventuali ulteriori requisiti interni ed esterni sopraggiunti nel frattempo.
Nei seguenti capitoli è descritto il dettaglio delle attività afferenti alle singole fasi del suddetto
modello.
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 11/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
3 Definizione
La fase di Definizione del sistema di BCM si articola nelle seguenti attività, descritte nei paragrafi
successivi:
Ambito del sistema di BCM; Politica per la Continuità Operativa; Organizzazione, ruoli e responsabilità del sistema BCM.
3.1 Ambito del sistema di BCM
Il sistema di BCM è lo strumento con cui un’Organizzazione garantisce la capacità di continuare ad
esercitare la propria missione istituzionale a fronte del verificarsi di eventi di gravità tale da
compromettere la disponibilità e l’accesso ai dati personali, stabilendo le idonee misure preventive e
correttive, nel rispetto dei livelli prestazionali definiti.
A tal fine, l’ambito del sistema di BCM definito dalla Struttura Sanitaria deve comprendere almeno:
Le applicazioni informatiche e i dati del sistema informativo indispensabili al trattamento dei
dati personali in ambito al presente documento e allo svolgimento delle relative attività; Le infrastrutture fisiche e logiche che ospitano sistemi di elaborazione a supporto; I dispositivi di elaborazione hardware e software che permettono la funzionalità delle
applicazioni a supporto dei servizi della Struttura Sanitaria; Le componenti di connettività locale e/o remota/geografica; Le misure per garantire la disponibilità dei sistemi di continuità elettrica (UPS e gruppi
elettrogeni) e più in generale la continuità di funzionamento del sistema informativo; Le unità organizzative e le relative risorse umane della Struttura Sanitaria e le terze parti
interessate (clienti, fornitori, ecc.)
3.2 Politica per la Continuità Operativa
La Struttura Sanitaria deve definire una politica interna sulla continuità operativa dei trattamenti di
dati personali effettuati ai sensi del GDPR [1] e comunicarla a tutto il personale e, laddove
Store: Print date: Codice di riservatezza
Definizione Assessment Pianificazione Attuazione Revisione
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 12/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
necessario, alle terze parti interessate, in modo che le iniziative intraprese in merito, siano
congruenti con quanto in essa definito.
Tale politica deve esplicitare la necessità di:
Impegnarsi a sviluppare, mantenere e migliorare nel tempo il sistema di BCM, per rispondere
alle mutevoli esigenze della Struttura Sanitaria; Assicurare l’adozione ed il mantenimento di un processo per l’identificazione dei potenziali
scenari di indisponibilità e degli impatti di tali scenari sui trattamenti di dati personali
effettuati dalla Struttura Sanitaria, al fine di a definire un sistema in grado di migliorare la
resilienza, la capacità di ripristino e di reazione a fronte di una crisi; Stabilire obiettivi e strategie per assicurare la continuità dei trattamenti di dati personali,
garantendo adeguate risorse (umane, tecnologiche e finanziarie) per il raggiungimento degli
obiettivi prefissati; Dotarsi, laddove possibile, di strutture organizzative dedicate, a presidio
dell’implementazione e della gestione del processo di continuità operativa, individuando
ruoli e responsabilità; Dotarsi di specifiche procedure in coerenza con i ruoli previsti nel modello organizzativo per
la gestione degli eventi di crisi, garantendone l’aggiornamento ai cambiamenti di contesto; Definire un processo di comunicazione cui attenersi, al verificarsi di situazioni di crisi, con
particolare riferimento sia alle comunicazione interne che a quelle esterne (es. clienti finali,
utenti finali, organi di informazione); Impegnarsi a sviluppare programmi di sensibilizzazione per fornire un’adeguata formazione
sulle modalità di gestione delle situazioni di crisi e a migliorare le competenze necessarie per
sviluppare e mantenere il sistema di BCM; Impegnarsi al miglioramento continuo.
3.3 Organizzazione, ruoli e responsabilità del sistema di BCM
Sono di seguito elencati gli attori coinvolti nel sistema di BCM, con le relative responsabilità:
Il Comitato di Crisi - organismo di vertice a cui spettano le principali decisioni e la
supervisione delle attività e delle risorse coinvolte nel sistema di BMC. Tale organo deve
occuparsi della direzione strategica dell’intera Struttura Sanitaria in occasione dell’apertura
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 13/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
dello stato di emergenza ICT ed inoltre, deve condividere con il Responsabile della
Continuità Operativa la responsabilità di garanzia e controllo sulla continuità operativa della
Struttura Sanitaria. In tal senso è opportuno che nel Comitato sia presente la dirigenza della
Struttura Sanitaria, con particolare riferimento a:o Direzione Generale e Strategica;o Direzione Amministrativa e Tecnica;o Direzione Sanitaria.
Tale ruolo prevede, in condizioni ordinarie, le seguenti responsabilità:
o Stabilire gli obiettivi e le strategie di continuità operativa del servizio; o Definire l’ambito del sistema di BCM;o Approvare lo Studio di Fattibilità Tecnica predisposto, sulla base del quali sarà
definito il Piano di CO/DR;o Assicurare risorse umane, tecnologiche e finanziarie adeguate al conseguimento
degli obiettivi fissati;o Definire ed approvare il Piano di CO e le successive modifiche a seguito di
adeguamenti tecnologici ed organizzativi, accettando i rischi residui non gestiti dal
piano di continuità operativa;o Condurre il Riesame della Direzione, con periodicità almeno annuale, del sistema di
BCM, verificare le criticità, attuare e pianificare le iniziative per il miglioramento
continuo dei processi che garantiscono la continuità operativa;o Promuovere e coordinare le attività di formazione e sensibilizzazione sul tema della
continuità operativa del personale dell’Organizzazione;o Approvare il piano di test delle misure di continuità operativa ed esaminare i
risultati delle prove documentati in forma scritta;o Nominare il Responsabile della Continuità Operativa; o Promuovere lo sviluppo, il controllo periodico del piano di continuità operativa e
l’aggiornamento dello stesso a fronte di rilevanti innovazioni organizzative,
tecnologiche e infrastrutturali nonché nel caso di lacune o carenze riscontrate
ovvero di nuovi rischi sopravvenuti.
Tale ruolo prevede, in condizioni di emergenza ICT (crisi), le seguenti responsabilità:
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 14/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
o Assumere il controllo di tutte le operazioni e assumere le responsabilità sulle decisioni
per affrontare l’emergenza ICT, ridurne l’impatto e soprattutto ripristinare le condizioni
preesistenti;o Valutare le situazioni di emergenza ICT e dichiarare dello stato di emergenza ICT;o Avviare le attività di ripristino delle funzionalità informatiche e controllare il loro
svolgimento;o Gestire i rapporti con l’esterno e delle comunicazioni ai dipendenti; o Gestire i rapporti interni e risolvere i conflitti di competenza;o Attivare il monitoraggio del processo di rientro dall’emergenza ICT;o Gestire di tutte le situazioni non contemplate;o Effettuare la dichiarazione di conclusione dello stato di emergenza ICT (ritorno allo
stato di normale operatività).
Ferme restando le responsabilità derivanti dal proprio incarico, il Comitato di Crisi ha la
facoltà di avvalersi operativamente della collaborazione di:
o Personale tecnico specialistico appartenente alla Struttura Sanitaria;o Consulenti esterni, ingaggiati mediante specifici contratti di servizio;o Servizi di terza parte, erogati da società con competenze ed esperienze di continuità
operativa e disaster recovery;o Fornitori coinvolti nelle attività di CO/DR;o Tutti i soggetti (stakeholder), convolti a vario titolo nelle attività di CO/DR.
Il Responsabile della Continuità Operativa (CO) – la persona responsabile di supportare la
Struttura Sanitaria nella predisposizione di tutte le misure necessarie per ridurre l’impatto
di un’emergenza ICT e reagire prontamente ed efficacemente, in caso di un’interruzione
delle funzioni ICT, a supporto dei trattamenti di dati personali effettuati ai sensi del GDPR
[1], dovuta a un disastro. Il Responsabile della Continuità operativa è membro del Comitato
di Crisi.
Tale ruolo prevede, in condizioni ordinarie, le seguenti responsabilità:
o Eseguire, con il supporto delle parti interessate (interne od esterne alla Struttura
Sanitaria), le attività di Business Impact Analysis e di Risk Assessment, al fine di
definire la strategia di continuità operativa;o Predisporre o coordinare la predisposizione dello Studio di Fattibilità Tecnica;
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 15/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
o Interagire con le parti interessate (interne od esterne alla Struttura Sanitaria) per
individuare le migliori soluzioni tecniche, procedurali e organizzative da
implementare nel Piano di CO, in linea con la strategia di continuità operativa
definita;o Progettare ed attuare, con il supporto delle parti interessate (interne od esterne alla
Struttura Sanitaria), la soluzione di CO/DR adottata e garantirne il costante
aggiornamento a fronte degli eventuali cambiamenti tecnici organizzativi intercorsi
e/o dei test effettuati;o Definire, a valle dell’acquisizione del parere del Comitato di Crisi sullo studio di
fattibilità tecnica inviato (cfr. par. 5.1.1.2), i Piani di CO per descrivere le misure
organizzative e tecniche per garantire la Continuità Operativa e il Disaster Recovery;o Avviare un processo di valutazione di impatto sul Piano di CO, per i cambiamenti
tecnici e organizzativi che coinvolgono la Struttura Sanitaria.o Pianificare e coordinare i test di Continuità Operativa e produrre la reportistica
necessaria;o Aggiornare le procedure tecniche e verificare il corretto funzionamento dei sistemi
di disaster recovery;o Assicurare che i percorsi formativi per il personale coinvolto nelle attività di
ripristino e rientro descritte nel Piano di CO siano opportunamente seguiti;o Valutare le performance del sistema di BCM;o Coordinare ed indirizzare le parti interessate (interne od esterne alla Struttura
Sanitaria), affinché eseguano azioni correttive e di miglioramento scaturite dalle
attività di Revisione del sistema di BCM;o Mantenere aggiornato il Piano di CO e sottoporlo al Comitato di Crisi per la relativa
approvazione.
Tale ruolo prevede, in condizioni di emergenza ICT (crisi), le seguenti responsabilità:
o Costituire il punto di riferimento/contatto per la segnalazione dello stato di
emergenza ICT (reale o potenziale);o Effettuare valutazioni qualitative e quantitative dell’impatto reale o potenziale che
lo stato di emergenza ICT segnalato provoca/può provocare, individuando il
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 16/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
personale, i servizi e gli utenti coinvolti per proporre al Comitato di Crisi la
dichiarazione dello stato di emergenza ICT;o Richiedere la convocazione del Comitato di Crisi per la valutazione della
dichiarazione dello stato di emergenza ICT, fornendo tutte le informazioni
necessarie alle decisioni;o Coordinare, in caso di dichiarazione di emergenza ICT da parte del Comitato di Crisi,
i gruppi operativi per la gestione dell’emergenza e per il processo di ritorno alla
normalità;o Aggiornare costantemente il Comitato di Crisi ICT durante le varie fasi di gestione
dell’emergenza ICT;o Informare il Comitato di Crisi della conclusione delle condizioni dell’emergenza ICT;o Curare tutte le operazioni di ritorno alla normalità, in caso di dichiarazione di
conclusione dell’emergenza ICT da parte del Comitato di Crisi.
Ferme restando le responsabilità derivanti dal proprio incarico, il Responsabile della
Continuità Operativa ha la facoltà di avvalersi operativamente della collaborazione di:
o Personale tecnico specialistico appartenente alla Struttura Sanitaria;o Consulenti esterni, ingaggiati mediante specifici contratti di servizio;o Servizi di terza parte, erogati da società con competenze ed esperienze di continuità
operativa e disaster recovery;o Fornitori coinvolti nelle attività di CO/DR;o Tutti i soggetti (stakeholder), convolti a vario titolo nelle attività di CO/DR.
Il Referente delle Verifiche Interne della Struttura Sanitaria. Tale ruolo prevede, le seguenti
responsabilità:o Definire le modalità di svolgimento delle attività di verifica, in termini di finalità,
obiettivi, metodologie, strumenti e risorse utilizzate;o Pianificare le attività di verifica;o Coordinare le sessioni di verifica, svolte dal personale interno e/o da terze parti
esterne alla Struttura Sanitaria;o Approvare i risultati delle verifiche, avendo cura di controllare che ogni giudizio
valutativo sia oggettivamente attribuito sulla base di evidenze riproducibili in ogni
momento;o Redigere, per ciascuna sessione di audit, un report di sintesi direzionale, indirizzato
al Comitato di Crisi, nel quale sono riportati in maniera sintetica i rilievi, le
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 17/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
raccomandazioni ed ogni altra tipologia di suggerimento correttivo/migliorativo per
il rientro dalle non conformità eventualmente rilevate;o Comunicare formalmente i risultati delle verifiche (audit report) agli stakeholder
coinvolti nelle attività di rientro dai rilievi eventualmente formulati;
Ferme restando le responsabilità derivanti dal proprio incarico, il Referente delle Verifiche
Interne della Struttura Sanitaria ha la facoltà di avvalersi della collaborazione di:
o Personale tecnico specialistico appartenente alle unità organizzative della Struttura
Sanitaria, avendo cura di evitare conflitti di ruolo che possano compromettere
l’imparzialità delle verifiche e l’oggettività delle valutazioni;o Consulenti esterni, ingaggiati mediante specifici contratti di servizio;o Servizi di terza parte, erogati da società con competenze ed esperienze di audit e
nello specifico ambito di verifica;o Fornitori coinvolti nei processi/servizi oggetto di verifica;o Tutti i soggetti (stakeholder), convolti a vario titolo nelle attività di verifica, che sono
tenuti a fornire al Referente delle Verifiche Interne della Struttura Sanitaria e/o al
personale da questi incaricato, il supporto necessario alla raccolta delle informazioni
utili alla formulazione delle valutazioni di adeguatezza.
4 Assessment
In questa fase la Struttura Sanitaria deve condurre un’attività volta a:
o Valutare l’impatto sui trattamenti effettuati dalla Struttura Sanitaria attraverso i sistemi ICT,
derivante dalla perdita della disponibilità dei dati che sottintendono al trattamento;o Valutare il rischio a cui sono esposti i trattamenti di dati personali effettuati tramite i sistemi
ICT a seguito di una situazione avversa (es. indisponibilità temporanea o disastro), al fine di
individuare le contromisure da adottare per contenere il rischio entro livelli accettabili.
A tale scopo, la fase di Assessment si articola nelle seguenti attività, descritte nei paragrafi
successivi:
Store: Print date: Codice di riservatezza
Definizione Assessment Pianificazione Attuazione Revisione
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 18/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
Business Impact Analysis (BIA); Risk Assessment (RA) e Risk Treatment (RT).
I risultati ottenuti dalla BIA e dalle attività di RA/RT guideranno la definizione della strategia di
continuità operativa e quindi la progettazione e l’implementazione della soluzione di Continuità
Operativa.
4.1 Business Impact Analysis
L’obiettivo della BIA, svolta dal Responsabile della Continuità Operativa con il supporto delle parti
interessate (interne o esterne alla Struttura Sanitaria), è quello di valutare l’impatto sui trattamenti
effettuati attraverso i sistemi ICT, derivante dalla perdita della disponibilità dei dati che
sottintendono al trattamento.
In tal senso, occorre: analizzare tutti trattamenti di dati personali effettuati dalla Struttura Sanitaria, le procedure,
le infrastrutture tecnologiche a supporto e le relazioni fra tutte queste risorse, anche facendo
riscorso al ICT Asset Inventory [15] e al Registro dei trattamenti [14] della Struttura Sanitaria,
al fine di rappresentare compiutamente l’ambito di continuità operativa. Individuare, nell’ambito di continuità operativa, il gruppo di lavoro per la Business Continuity,
che ha l’obiettivo di condurre e gestire tutta l’analisi degli impatti e dei trattamenti all’interno
dell’organizzazione; Valorizzare l’impatto di indisponibilità. Tale valorizzazione deve essere basata su due
dimensioni di analisi:o Categorie d’impatto, suddivise ad esempio in Perdita di Immagine, Perdite Finanziarie
(minori ricavi), Violazione Normativa, Perdite di Efficienza Operativa (maggiori costi),
Danni Ambientali, Danni all’Incolumità delle Persone;o Livelli di impatto, rappresentati a più livelli (es. Alto, Medio Alto, Medio, Medio Basso,
Basso o Assente)
Le suddette valutazioni devono essere effettuate presumendo la totale assenza di
contromisure o controlli di sicurezza eventualmente già implementati, al fine di garantire
giudizi valutativi indipendenti dal contesto fisico, ambientale e tecnologico, che saranno
trattati successivamente in sede di Risk Assessment, insieme alla relazione esistente tra
impatto e causa/evento di sicurezza, responsabile dell’indisponibilità (cfr. par. 4.2). Nel
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 19/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
valorizzare l’impatto di indisponibilità occorre prendere in considerazione anche quanto
emerso dall’Analisi degli impatti potenziali sui diritti e le libertà dell’interessato effettuata
nell’ambito della DPIA [11]. In tal senso, occorre prendere in considerazione il valore più
critico tra quello presente nella suddetta analisi in relazione allo scenario di disponibilità e
quanto emerso dalla BIA di cui al presente documento.
Indicare le priorità di ripristino dei trattamenti e delle risorse ICT a supporto, sulla base delle
valutazioni effettuate; Definire il tempo massimo di ripristino (RTO – Recovery Time Objective); Individuare il RPO (Recovery Point Objective); Individuare il livello minimo delle risorse, costituite da asset ICT, dati, procedure ed
organizzazione, necessarie per recuperare la disponibilità dei trattamenti, nei limiti dell’RTO
e dell’RPO definiti; Individuare i Clienti chiave, i fornitori e le altre terze parti coinvolte; Individuare i vincoli sotto cui operano i trattamenti (contrattuali, legali, regolati da normative
interne, piuttosto che dalla legislazione vigente); Individuare la soluzione tecnologica minima da adottare, per garantire la continuità operativa
dei trattamenti dei dati personali, basandosi sulle linee guida fornite in Allegato 3 – Supporto
all’individuazione della soluzione tecnologica e delle soluzioni tecniche.
Uno dei risultati fondamentali della BIA, consiste nella definizione degli indici RTO (Recovery time
Objective) e RPO (Recovery Point Objective), che rivestono particolare importanza in quanto
consentono di individuare le tempistiche entro cui deve avvenire il ripristino desiderato.
In particolare:
il Recovery Point Objective (RPO): rappresenta il periodo di tempo massimo che può
intercorrere tra l'ultimo salvataggio dati e il momento di blocco del sistema ICT a supporto
del trattamento di dati personali. Fornisce una misura della massima quantità di dati che il
sistema può perdere a causa di un disastro. Tali dati sono appunto quelli prodotti nel periodo
successivo a quello dell’ultimo backup e di cui non è stata mantenuta una copia di
salvataggio; il Recovery Time Objective (RTO): rappresenta il tempo massimo tollerabile per il pieno
recupero dell'operatività di un sistema ICT, a seguito dell’avvenimento di un evento
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 20/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
bloccante: è il tempo che intercorre fra l’evento bloccante e quello in cui viene ripristinato il
sistema.
Entrambi i valori devono tener conto, per il loro corretto dimensionamento, degli elementi riportati
nella figura seguente:
Figura 2 – Elementi per il dimensionamento RTO ed RPO
4.2 Risk Assessment e Risk Treatment
L’attività di Risk Assessment, svolta dal Responsabile della Continuità Operativa con il supporto delle
parti interessate (interne o esterne alla Struttura Sanitaria) ha i seguenti obiettivi principali:
Individuare gli scenari di indisponibilità (minacce) associati ai trattamenti di dati personali
effettuati dalla Struttura Sanitaria e valutare le rispettive probabilità di accadimento; Individuare le vulnerabilità degli asset ICT a supporto dei trattamenti di dati personali
effettuati dalla Struttura Sanitaria e identificare il livello di rischio derivante dagli scenari di
indisponibilità applicati (es incendio, allagamento, attacco informatico, indisponibilità del
personale).
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 21/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
Una volta individuato il livello di rischio è necessario procedere al suo trattamento. Le possibili
strategie di trattamento dei rischi individuati (Risk Treatment) sono basate sulla valutazione del
giusto equilibrio fra i seguenti elementi:
I risultati del Risk Assessment; Il rispetto delle norme cogenti; Gli obiettivi di rischio preposti, ossia il livello di rischio massimo tollerabile su tutti gli asset
coinvolti; Eventuali Piani di Rientro già approvati; Le necessità legate alla missione istituzionale; I costi necessari a sostenerla (es. tecnologiche , organizzazione).
Le possibili strategie di trattamento del rischio sono declinate nelle seguenti opzioni:
Evitare: evitare il rischio, rinunciando, ad esempio, alle attività che lo generano; Trasferire: trasferire il rischio ad altre parti, come ad esempio assicuratori e fornitori; Ridurre: ridurre il rischio ad un livello accettabile predefinito dalla Struttura Sanitaria,
attraverso l’implementazione delle opportune contromisure di sicurezza; Accettare: se non si ritiene opportuna alcuna delle precedenti opzioni.
Nell’ipotesi in cui si decida di ridurre i rischi evidenziati ad un livello ritenuto accettabile per la
Struttura Sanitaria, è necessario dotarsi di un sistema di contromisure tale da contrastare
adeguatamente tali rischi in termini di:
Prevenzione delle minacce e degli attacchi al fine di ridurre il potenziale rischio di danni; Reazione agli attacchi, onde evitare, contenere o minimizzare i danni; Investigazione a supporto delle attività di analisi e valutazione dei danni subiti in seguito ad
un attacco; Ripristino a supporto delle attività di ricostruzione della situazione antecedente il danno.
Il livello di rischio accettato deve essere definito in funzione di molteplici fattori, tra cui:
Gli investimenti previsti; Gli indirizzamenti strategici; Gli obiettivi relativi alla missione della Struttura Sanitaria.
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 22/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
5 Pianificazione
Le attività previste dalla fase di Pianificazione delle attività per la realizzazione del sistema di BCM,
descritte nei paragrafi successivi, sono:
La definizione della strategia di continuità operativa; L’analisi di fattibilità e la progettazione della soluzione tecnica/organizzativa; La definizione del piano di CO/DR; La predisposizione del piano di attuazione del piano di CO/DR.
5.1 Definizione della strategia di continuità operativa
La strategia di continuità operativa consente di indirizzare la soluzione tecnico-organizzativa, per
garantire la disponibilità dei dati personali che sottintendono ai trattamenti effettuati dalla Struttura
Sanitaria, riducendo al minimo gli impatti negativi. Tale strategia è individuata da Comitato di Crisi,
sulla base dell’analisi dei risultati della precedente fase di Assessment.
In particolare, la strategia di continuità operativa, illustrata nella seguente figura, deve tenere conto
dei seguenti fattori:
Gli impatti sul trattamento delle informazioni personali effettuate dalla Struttura Sanitaria,
derivanti da un’interruzione del servizio e la soluzione tecnologica individuata (Tier) (cfr. par.
4.1); I valori di RTO/RPO (cfr. par. 4.1); I valori di rischio (cfr. par. 4.2) in rapporto a specifici inadeguatezze dell’infrastruttura di
sicurezza, piuttosto che di assenza di opportune misure di protezione e le contromisure
individuate per il contenimento di tale rischio.
Store: Print date: Codice di riservatezza
Definizione Assessment Pianificazione Attuazione Revisione
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 23/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
Figura 3 – Strategia di Continuità Operativa
5.2 Analisi di fattibilità e progettazione soluzione tecnica/organizzativa
Una volta definita la strategia di continuità operativa più opportuna (cfr. par. 5.1), è necessario che il
Responsabile della Continuità Operativa, con il supporto delle parti interessate (interne o esterne
alla Struttura Sanitaria), effettui un’analisi di fattibilità tecnica, attraverso la formalizzazione di uno
Studio di Fattibilità Tecnica (SFT). Tale attività è propedeutica alla progettazione della soluzione
tecnica-organizzativa finalizzata a garantire la continuità operativa di ogni trattamento di dati
personali individuato.
5.2.1 Analisi di fattibilità tecnica
L’analisi di fattibilità tecnica deve tener conto dei seguenti elementi minimali di valutazione/criticità:
Analisi dei costi e vincoli di budget; Necessità di interventi di razionalizzazione preventiva (consolidamento, virtualizzazione,
ecc.), in special modo prima di adottare soluzioni di DR; Esigenze logistiche, HW, SW, risorse umane; Necessità di competenze tecniche specifiche.
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 24/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
L’analisi e la relativa formalizzazione tramite la redazione di uno Studio di Fattibilità, è condotta o
coordinata dal Responsabile della Continuità Operativa e deve contenere almeno le seguenti
informazioni:
Informazioni Generali: la descrizione della Struttura Sanitaria, dell’organizzazione interna,
delle funzioni istituzionali; L’ambito dello SFT: i trattamenti di dati personali effettuati in ambito e fuori ambito al Piano
di CO; Il risultato della fase di assessment (cfr. cap. 4): per ogni trattamento riportato nello Studio di
Fattibilità Tecnica, devono essere riportati i dati emersi nel corso dell’assessment; Le soluzioni tecnologiche e tecniche individuate: il dettaglio della soluzione o delle soluzioni
che la Struttura Sanitaria ha individuato come rispondente/i alle proprie esigenze; Tempi e modalità implementative: in cui devono essere riportati, per tutte le soluzioni
tecnologiche e tecniche individuate, i tempi e le modalità di realizzazione con l’indicazione di
eventuali vincoli e rischi delle soluzioni.
Lo SFT deve essere sottoposto all’approvazione del Comitato di Crisi. A seguito dell’approvazione da
parte del Comitato di Crisi è possibile procedere con la progettazione della soluzione tecnica-
organizzativa, la definizione del Piano di CO/DR e la relativa attuazione, in conformità a quanto
contenuto nello SFT. In caso di mancata approvazione, opportunamente motivata, occorre rivedere
lo SFT tenendo conto di quanto indicato dal Comitato e sottoporlo nuovamente all’approvazione di
quest’ultimo.
5.2.2 Progettazione soluzione tecnica-organizzativa
A seguito dell’approvazione dello SFT (cfr. par. 5.2.1) da parte del Comitato di Crisi, deve essere
effettuata, da parte del Responsabile della Continuità Operativa con il supporto delle parti
interessate (interne o esterne alla struttura), la progettazione vera e propria della soluzione tecnica-
organizzativa, finalizzata predisposizione del Piano di Continuità Operativa (PCO) e del Piano di
Disaster Recovery (PDR).
La soluzione individuata deve prevedere l’esecuzione di chiare ed efficaci azioni (formalizzate in
procedure, istruzioni operative, atti e documenti) da parte dei soggetti coinvolti nel piano, come
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 25/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
completa risposta alla situazione d’emergenza, e sono finalizzate al ripristino della disponibilità e
dell’accesso ai dati personali che sottintendono ai trattamenti, sino al rientro alla situazione di
normalità.
La progettazione della soluzione è normalmente articolata nelle seguenti attività, formalizzate in
documentazione specifica:
Progettazione di alto livello del modello organizzativo; Progettazione di alto livello della soluzione tecnologica, con eventuale produzione di
deliverable/studi per il consolidamento o la razionalizzazione del Sito Primario (ove se ne
evidenzi la necessità come passo propedeutico/prerequisito ai fini della realizzazione della
soluzione di DR); Progettazione di dettaglio del modello organizzativo/procedurale; Progettazione di dettaglio della soluzione tecnologica.
Il Piano di CO/DR deve di conseguenza prevedere, le modalità per reagire agli eventi nel modo più
tempestivo possibile e stabilire un flusso di comunicazione ed attivazione efficiente ed efficace.
5.3 Piano di CO/DR
Il Responsabile della Continuità Operativa deve definire, con il supporto delle parti interessate
(interne o esterne alla struttura) e sulla base dello SFT approvato dal Comitato di Crisi:
Il piano di continuità operativa (PCO), che fissa gli obiettivi e i principi da perseguire nel
rispetto dei tempi di RPO ed RTO individuati in fase di Assessment (cfr. cap. 4) e descrive le
procedure per la gestione della continuità operativa, anche qualora affidate a soggetti
esterni. Il PCO tiene conto delle potenziali criticità relative a risorse umane, strutturali,
tecnologiche e contiene idonee misure preventive; Il piano di disaster recovery (PDR), che costituisce parte integrante di quello di continuità
operativa di cui al punto precedente, stabilisce le misure tecniche e organizzative per
garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche
rilevanti in siti alternativi a quelli di produzione.
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 26/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
Il PCO è un documento complesso, normalmente articolato in più sezioni, che può contenere al suo
interno documentazione di natura diversa come ad esempio procedure operative, organizzative,
schede, elenchi di persone e di materiale, istruzioni operative. L’eventuale documentazione a
completamento del PCO deve essere predisposta secondo un criterio di facile reperibilità, in tal
senso, una tabella riassuntiva di tutta la documentazione può aiutare al reperimento facile ed
immediato della documentazione da includere o allegare al PCO.
Il PCO si compone di attività e fasi che devono essere dettagliatamente specificate e descritte. É utile
in ogni caso avere una visione complessiva dell’intero flusso di attività in modo che ciascun soggetto
coinvolto abbia immediatamente evidenza delle interazioni tra le singole fasi. Esso rappresenta
pertanto una guida generale che indica come reagire ad eventi “negativi” di significativa rilevanza,
che determinano l’indisponibilità di quei dati personali di cui si garantisce il ripristino entro
determinati limiti di tempo.
Il PCO prevede l’esecuzione di chiare ed efficaci azioni (formalizzate in procedure, istruzioni
operative, atti e documenti), da parte dei soggetti coinvolti nel piano, come risposta alla situazione
d’emergenza, all’eventuale stato di emergenza, e sono finalizzate al ripristino della disponibilità e
dell’accesso ai dati personali sino al rientro alla situazione di normalità. Tali azioni dovranno essere
eseguite da ciascun soggetto coinvolto con immediatezza, in considerazione degli obiettivi da
perseguire. Inoltre, nell’ambito della struttura organizzativa per il PCO predisposta dalla Struttura
Sanitaria, il Responsabile della Continuità Operativa assume un ruolo strategico, sia in condizioni
ordinarie che in eventuali condizioni di emergenza, per assicurare il coordinamento delle operazioni
e il mantenimento, aggiornamento e sviluppo futuro del PCO.
Nel PCO e in tutta la documentazione che lo compone, devono essere presenti le seguenti
informazioni minimali:
I ruoli e le responsabilità delle persone e dei gruppi di lavoro coinvolti; Il processo per l’attivazione dello stato di emergenza, che preveda inoltre misure di
escalation rapide che consentano, una volta assunta consapevolezza della portata
dell’emergenza, di dichiarare lo stato di crisi in tempi brevi;
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 27/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
Le informazioni per gestire le conseguenze immediate di una condizione di emergenza,
tenendo in considerazione i seguenti fattori:o La salvaguardia degli individui;o Le strategie, le tattiche e l’operativa per rispondere ad una condizione di emergenza;o La prevenzione di ulteriori perdite e/o indisponibilità
Le informazioni su come ed in quali circostanze la Struttura Sanitaria comunicherà con i
propri dipendenti e con i loro parenti, con le terze parti chiave interessate con i contatti di
emergenza (es. vigili del fuoco, organi di polizia); Le informazioni su come la Struttura Sanitaria continuerà le proprie attività o su come
verranno ripristinate (in caso di DR) nell’ambito degli RTO e degli RPO definiti (es.
individuazione di siti alternativi, di spazi e infrastrutture logistiche e di comunicazione
adeguate al personale coinvolto nella crisi, le regole per la conservazione delle copie dei
documenti importanti (ad es., i contratti) in luoghi remoti rispetto ai documenti originali); Le informazioni riguardo alla risposta da fornire ai mezzi di comunicazione di massa (Media)
a seguito di una condizione di emergenza, con particolare riferimento a:o Strategia di comunicazione;o Interfaccia preferita di riferimento dei Media;o Modello della comunicazione e responsabile della comunicazione
Il processo di ripresa della normale operatività.
Il PCO e tutta la documentazione che la compone, deve essere definita ed approvata dal Comitato di
Crisi, specialmente quella che conferisce gli opportuni poteri e responsabilità ai vari ruoli individuati
durante la fase di emergenza.
5.4 Piano di attuazione
Una volta effettuata la progettazione della soluzione tecnica-organizzativa, definito e approvato il
piano di CO, occorre sviluppare il relativo piano di attuazione. Tale piano, coordinato dal
Responsabile della Continuità Operativa e attuato con il supporto delle parti interessate (interne o
esterne alla struttura), deve contemplare tutte le attività previste dal Piano di CO ed essere in linea
con i tempi implementativi descritti nello SFT che ha ottenuto l’approvazione del Comitato di Crisi.
Inoltre, per ogni attività riportata nel piano di attuazione, occorre individuarne la responsabilità
implementativa.
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 28/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
6 Attuazione
Ai fini della realizzazione del piano di attuazione del sistema di BCM precedentemente definito (cfr.
par. 5.4), occorre effettuare le seguenti attività, descritte nei paragrafi successivi:
Realizzare la soluzione tecnico/organizzativa individuata; Effettuare sessioni di comunicazione e formazione; Eseguire i test.
6.1 Realizzazione della soluzione tecnico/organizzativa definita
Nel realizzare la soluzione tecnica-organizzativa definita, nei modi e nei tempi previsti dal piano di
CO/DR e dal relativo piano di attuazione, la Struttura Sanitaria, dovrà garantire il rispetto della
normativa vigente in materia di appalti e garantire la necessaria apertura al mercato, ove intendesse
ricorrere a fornitori esterni per dotarsi, attraverso forniture o servizi, di soluzioni di CO/DR.
6.2 Comunicazione e formazione.
Fase cruciale per la buona riuscita del piano di CO/DR, è la formazione e sensibilizzazione del
personale interno della Struttura Sanitaria e delle eventuali terze parti interessate, sul tema della
continuità operativa, affinché ogni persona coinvolta, sia ben consapevole e addestrata sulle proprie
attività da svolgere in caso di emergenza.
Tale attività, promossa e coordinata dal Comitato di Crisi, deve essere effettuata attraverso il
coinvolgimento del Responsabile della Continuità Operativa, per la predisposizione di materiale
formativo, di checklist di verifica e soprattutto per l’organizzazione ed il coordinamento di sessioni di
simulazione di casi reali.
Store: Print date: Codice di riservatezza
Definizione Assessment Pianificazione Attuazione Revisione
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 29/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
6.3 Test e relative modalità
Al termine della fase di realizzazione della soluzione tecnica-organizzativa, occorre verificarne
l’efficacia e l’efficienza. A tal riguardo, il Responsabile della Continuità Operativa redige il piano di
test, approvato dal Comitato di Crisi, che preveda una simulazione di emergenza quanto più
esaustiva possibile.
Pertanto, occorre prevedere un test completo al fine di verificare, non solo le procedure, ma anche
l’effettiva attivazione delle risorse umane, delle infrastrutture fisiche e dei sistemi ICT, sempre a
fronte della simulazione di un’emergenza.
Un test di questo tipo richiede un’attenta predisposizione e un certo impegno da parte del
personale, ma garantisce la reale verifica della soluzione di continuità prevista nel Piano di CO/DR.
Per le modalità di svolgimento di tali test, fare riferimento a quanto descritto al paragrafo 7.1 del
presente documento.
7 Revisione
Un sistema di BCM deve essere sottoposto a regolare revisione, al fine di:
Verificarne l’efficacia, l’efficienza e l’adeguatezza rispetto agli obiettivi prefissati ed alle
politiche definite dalla Struttura Sanitaria; Identificarne le eventuali necessità di adeguamento, attuando le opportune azioni correttive
e di miglioramento.
L’attività di revisione del sistema di BCM si concretizza attraverso:
L’esecuzione di test ed esercitazioni simulate dei piani di CO/DR; La valutazione delle performance del sistema di BCM; Le Verifiche Interne di continuità operativa; Il mantenimento del Piano di CO/DR;
Store: Print date: Codice di riservatezza
Definizione Assessment Pianificazione Attuazione Revisione
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 30/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
Il Riesame della Direzione; Il miglioramento del sistema di BCM.
Le suddette attività di revisione sono descritte nei paragrafi successivi.
7.1 Test ed esercitazioni di CO/DR
I test e le esercitazioni di continuità operativa devono eseguire periodicamente (almeno una volta
l’anno, salvo diversa indicazione da parte del Comitato di Crisi) dalle parti interessate (interne od
esterne alla Struttura Sanitaria), e comunque ad ogni variazione dell’assetto tecnologico, tecnico,
organizzativo, normativo, dei rapporti contrattuali e dei trattamenti effettuati dalla Struttura
Sanitaria. Il Responsabile della Continuità Operativa pianifica e coordina l’esecuzione di tali attività.
Esse sono finalizzate a:
Verificare l’efficacia e l’efficienza del Processo di Gestione delle Emergenze ICT, dei Piani di
CO/DR e delle procedure a supporto; Verificare l’efficacia e l’efficienza della soluzione tecnica-organizzativa adottata; Verificare, in generale, che sia assicurato il corretto ripristino del funzionamento del sistema
informativo della Struttura Sanitaria; Valutare la preparazione dei gruppi di gestione della continuità operativa; Valutare l’efficacia del programma di awareness al fine di sviluppare e diffondere nella
Struttura Sanitaria, laddove necessario, la conoscenza e la sensibilità sulle tematiche di
Continuità Operativa/Disaster Recovery.
Le attività di test possono essere di tipo:
Organizzativo (ad esempio: Test del Processo di Gestione delle Emergenze, test dei Piani di
Continuità Operativa, ecc.); Logistico (ad esempio: prove di evacuazione degli edifici); Tecnologico (test di Disaster Recovery).
Tali test sono normalmente condotti secondo le seguenti modalità:
Una semplice verifica dell’effettiva disponibilità di tutto quanto si renderebbe necessario in
caso di emergenza (es. nomina responsabile CO, nomina Comitato di Crisi ICT, gestione delle
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 31/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
reperibilità, disponibili e funzionamento degli impianti del sito secondario, disponibilità delle
risorse elaborative e di rete). In questo caso deve essere preventivamente predisposta una
checklist che permetta di verificare quanto sopra. Questo tipo di test non garantisce che in
caso di emergenza non ci siano funzionalità non in linea con quanto previsto, ma è
facilmente eseguibile; Il cosiddetto test “walkthrough”: questo tipo di test si svolge con una simulazione (cioè,
senza attivazione fisica dei sistemi) eseguita con il supporto di tutto il personale previsto dal
Piano di CO/DR. Il test deve essere preparato con cura, soprattutto per descrivere lo scenario
di crisi ipotetico in relazione al quale ciascun partecipante, in funzione del rispettivo ruolo
previsto nel Piano, esegue le procedure definite per ognuna delle fasi indicate. Anche se più
complesso da organizzare, rispetto alla semplice verifica della disponibilità di risorse e
impianti, questo test non implica l’attivazione dei sistemi alternativi e può essere un modo
utile anche per la formazione e la verifica della preparazione del personale; Test degli impianti e delle risorse: in questo caso sono verificate le procedure, ma anche
l’effettiva attivazione delle risorse fisiche e ICT, sempre a fronte della simulazione di
un’emergenza. Un test di questo tipo richiede un’attenta predisposizione e un impegno da
parte del personale, ma garantisce la reale verifica della soluzione di continuità del Piano. Per
ognuna delle fasi dell’emergenza vanno programmate ed eseguite le attività previste. Un
altro test collegato al suddetto è il test effettuato senza preavviso alle risorse umane
interessate. Si tratta di una possibilità realmente fattibile solo in presenza di una alto livello
di professionalità del personale coinvolto. Naturalmente, un simile test si avvicina a quanto
effettivamente potrebbe accadere in caso di emergenza e permette quindi un livello di
garanzia della funzionalità della soluzione di continuità, estremamente alto.
La Struttura Sanitaria (o il fornitore, qualora venga richiesto un supporto esterno per svolgere i test),
dovrà predisporre il test al fine di simulare una “vera” condizione di emergenza/indisponibilità
prolungata e, al fine di non compromettere i dati di produzione a seguito delle simulazioni, dovrà
predisporre copie dei dati ad uso esclusivo della simulazione che saranno cancellate con modalità
sicura, al termine dei test. L’avvenuta cancellazione di dette copie dei dati sarà verificata in
contraddittorio dalle parti nei modi e tempi che saranno indicati.
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 32/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
Il test potrà essere articolato secondo le seguenti macro fasi, da definire operativamente nella
documentazione annessa al Piano di CO/DR:
Messa a disposizione e verifica di tutta la documentazione procedurale e tecnica connessa ai
servizi di CO/DR; Attivazione e ripartenza dei sistemi nel sito di DR; Verifica delle funzionalità di base degli ambienti elaborativi; Verifica dell’allineamento e della congruità dei dati tra il sito primario di produzione e il sito
di DR; Verifica dell’operatività dell’infrastruttura di rete; Verifica della corretta distribuzione delle rotte IP tra gli apparati di rete; Verifica connettività tra il sito di DR e il sito primario di produzione; Attivazione dei sottosistemi applicativi; Test applicativi.
Il piano relativo ai suddetti test ed i risultati derivanti dalla sua attuazione devono essere formalizzati
per iscritto tramite ad esempio il verbale di test e il documento di tracciatura dell’esito delle prove
effettuate. Il Comitato di Crisi deve approvare il piano di test esaminando altresì i risultati dei test
eseguiti. Tale documentazione sarà analizzata nell’ambito delle fasi di Riesame della Direzione (cfr.
par. 7.4 e di Miglioramento del sistema di BMC (cfr. par. 7.6), al fine di indirizzare le opportune azioni
correttive e/o di miglioramento.
7.2 Valutazione delle performance del sistema di BCM
La valutazione delle performance del sistema di BCM deve essere effettuata con periodicità almeno
annuale da parte del Responsabile della Continuità Operativa. A tale scopo, è opportuno predisporre
una procedura che descriva il processo monitoraggio, misurazione, analisi e valutazione delle
performance del sistema di BCM. La procedura deve descrivere, come minimo:
Cosa deve essere monitorato e misurato; I metodi da utilizzare per il monitoraggio, la misurazione, l’analisi e la valutazione; Le tempistiche per il monitoraggio e la misurazione; Le tempistiche per l’analisi e la valutazione dei risultati prodotti dal monitoraggio e dalla
misurazione; Le metriche utilizzate per la definizione/misurazione dei Key Performance Indicator (KPI)
individuati, in termini di modalità di calcolo, soglia attesa e frequenza di misurazione;
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 33/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
Come i risultati delle suddette attività devono essere opportunamente documentati.
La Struttura Sanitaria deve conservare la documentazione che attesti i risultati emersi dalla
valutazione delle performance del sistema di BCM, con evidenza delle eventuali non conformità
rispetto ai risultati attesi. Tale documentazione sarà analizzata nell’ambito delle fasi di Riesame della
Direzione (cfr. par. 7.4) e di Miglioramento del sistema di BMC (cfr. par. 7.6), al fine di indirizzare le
opportune azioni correttive e/o di miglioramento.
7.3 Verifiche Interne
Con cadenza almeno annuale, il Referente delle Verifiche Interne della struttura Sanitaria, deve
predisporre il Piano annuale delle verifiche interne di continuità operativa, e provvedere alla loro
esecuzione.
Tali verifiche sono finalizzate a verificare:
la conformità del sistema di BCM ai requisiti di continuità formulati dalla Struttura Sanitaria e
a quanto previsto dalla normativa vigente applicabile; l’effettiva implementazione e manutenzione del sistema di BCM.
A tal riguardo, occorre:
pianificare, definire, implementare e manutenere un programma di verifica interna legato
alla tematica della continuità operativa, comprensivo di metodi, responsabilità, requisiti di
pianificazione e reportistica; definire, per ogni verifica, l’ambito ed i criteri utilizzati; basarsi sui risultati delle precedenti verifiche interne e delle attività di Risk Assessment in
oggetto al presente documento (cfr. par. 4.2); assicurare l’obiettività e l’imparzialità del personale incaricato all’esecuzione della verifica
interna; assicurare che i risultati di tali verifiche siano documentati e riportati al Comitato di Crisi, al
fine di approvare le eventuali azioni correttive necessarie.
I risultati delle verifiche interne di continuità operativa devono essere documentati, evidenziando le
eventuali non conformità riscontrate e/o le raccomandazioni di miglioramento emerse. Tale
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 34/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
documentazione sarà analizzata nell’ambito delle fasi di Riesame della Direzione (cfr. par. 7.4) e di
Miglioramento del sistema di BMC (cfr. par. 7.6), al fine di indirizzare le opportune azioni correttive
e/o di miglioramento.
7.4 Mantenimento del Piano di CO/DR
Il Piano di CO deve essere aggiornato almeno una volta all’anno e comunque ad ogni variazione
significativa dell’assetto tecnologico, tecnico, organizzativo, normativo, dei rapporti contrattuali e dei
trattamenti effettuati dalla Struttura Sanitaria. Il piano di CO, aggiornato da parte del Responsabile
della Continuità Operativa, deve essere vagliato ed approvato dal Comitato di Crisi, nel corso della
riunione periodica (almeno annuale) indetta dal Responsabile della Continuità Operativa. In
particolare, sulla base dei dati raccolti durante le attività di Revisione del sistema di BCM (cfr. cap. 7),
il Comitato di Crisi valuta la conformità del Piano di CO e in base a questa, ne dichiara l'accettazione,
preoccupandosi di mettere agli atti tale decisione e di notificare l’approvazione a tutte le parti
interessate (interne ed esterne).
Il Piano di DR, inteso come la sezione del Piano di CO che descrive le attività di ripristino del sistema
informativo dovrà essere aggiornato almeno una volta all'anno e comunque ad ogni variazione
significativa dell’assetto tecnologico, tecnico, organizzativo, normativo, dei rapporti contrattuali e dei
trattamenti effettuati dalla Struttura Sanitaria.
Si riportano di seguito, a titolo esemplificativo, alcune tipologie di eventi che devono essere presi in
considerazione per l’aggiornamento del Piano di CO/DR:
Modifiche nella composizione delle strutture organizzative (es. Comitato di Crisi,
Responsabile CO ICT, gruppi di supporto) coinvolte nella gestione della continuità operativa; Modifiche nei dati personali e/o di reperibilità del personale coinvolto; Modifiche dei fornitori e/o del contratto assicurativo; Modifiche dei servizi o delle applicazioni software (aggiunta/modifica/eliminazione di
applicazioni, variazioni nella criticità delle applicazioni); Modifiche nell’hardware e/o nella rete; Modifiche nella logistica; Stipula di nuovi contratti; Modifica delle normative applicabili.
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 35/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
Il verificarsi di uno o più di questi eventi, o comunque di un qualsiasi evento che possa incidere
sull’efficacia del Piano di CO/DR, richiede quindi un’attenta analisi per valutare la necessità di
apportare modifiche al Piano stesso.
7.5 Riesame della Direzione
Il riesame della direzione, effettuato con cadenza almeno annuale da parte del Comitato di Crisi, ha
l’obiettivo di assicurare nel tempo l’adeguatezza e l’efficacia del sistema di BCM attuato.
Gli elementi in ingresso al riesame della direzione comprendono:
Lo stato di avanzamento delle azioni e delle raccomandazione per il miglioramento previste
dai precedenti riesami della direzione; I cambiamenti dei fattori interni ed esterni che hanno attinenza con il sistema di BMC,
comprese le evoluzioni delle prescrizioni legali e delle altre prescrizioni relative ai propri
aspetti ambientali; I risultati delle valutazioni sul rispetto delle prescrizioni legali e delle altre prescrizioni che
l’organizzazione sottoscrive; I risultati delle attività di Revisione del sistema di BCM, comprensivi dei seguenti andamenti:
o Risultati del monitoraggio e della misurazione delle performance;o Risultati delle verifiche interne;o Risultati dei test e delle esercitazioni periodiche.
Il Piano di CO/DR; Le informazioni di ritorno comunicazioni provenienti dalle parti interessate esterne, compresi
i reclami; I risultati delle attività di RA/RT; Ogni cambiamento, interno ed esterno, che può avere effetto sull’ambito del sistema di BCM Le raccomandazioni per il miglioramento continuo; Tecniche, prodotti e procedure che possono essere utilizzate dalla Struttura Sanitaria per
migliorare le prestazioni e l’efficacia del sistema di BCM; Adeguatezza delle Politiche della Struttura Sanitaria; Eventuali standard e best practice emergenti; Lesson learned derivate da incidenti distruttivi.
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 36/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
Gli elementi in uscita al Riesame della Direzione devono comprendere decisioni relative alle
opportunità per il miglioramento continuo ed ogni necessità di modifica al sistema di BCM, quali ad
esempio:
Modifiche all’ambito del sistema di BCM; Miglioramento dell’efficacia del sistema di BCM; Aggiornamento del RA, BIA, Piano di CO/DR e relative procedure; Modifiche a procedure e controlli per rispondere ad eventi interni o esterni alla Struttura
Sanitaria, che possono aver impatto sul suo sistema di BCM, inclusi i seguenti cambiamenti:o Missione della Struttura Sanitaria;o Riduzione del rischio e requisiti di sicurezza;o Condizioni ambientali (es. evoluzione del contesto organizzativo, tecnologico) e
processi;o Requisiti legali e normativi;o Obblighi contrattuali;o Livello di rischio e/o criteri per l’accettazione del rischio;o Necessità legate alle risorse;o Requisiti finanziari.
Modifica dei criteri di misurazione dell’efficacia delle misure di continuità.
I risultati del riesame della direzione devono essere comunicati a tutte le parti (interne ed esterne)
interessate. La Struttura Sanitaria deve inoltre conservare informazioni documentate quali evidenza
dei risultati del riesame della direzione. Tale documentazione sarà analizzata nell’ambito della fase di
Miglioramento del sistema di BMC (cfr. par. 7.5), al fine di indirizzare le opportune azioni correttive
e/o di miglioramento.
7.6 Miglioramento
Nel corso dello svolgimento di attività legate principalmente ai Test ed alle esercitazioni di CO/DR
(cfr. par. 7.1), alla Valutazione delle performance (cfr. par. 7.2), alle Verifiche Interne (cfr. par. 7.3), al
Riesame della Direzione (cfr. par. 7.4), possono emergere delle non conformità o delle aree di
miglioramento.
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 37/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
Nel caso in cui venga rilevata una non conformità, il Responsabile della Continuità Operativa deve
coordinare ed indirizzare le parti interessate (interne od esterne alla Struttura Sanitaria), affinché
eseguano le seguenti attività:
Reazione alla non conformità e, per quanto applicabile, attuazione delle azioni di
contenimento a fronte della non conformità e gestione delle conseguenze; Valutazione della necessità di azioni correttive per eliminare le cause della non conformità
(root cause analysis), in modo che non si ripeta o non accada altrove. Le azioni correttive
devono essere adeguate agli effetti delle non conformità riscontrate.
Nel caso invece, in cui venga evidenziata un’area di miglioramento, il Responsabile della Continuità
Operativa deve coordinare ed indirizzare le parti interessate (interne od esterne alla Struttura
Sanitaria) al fine di individuare le opportune azioni di miglioramento.
Le azioni correttive e di miglioramento individuate, devono essere sottoposte all’approvazione del
Comitato di Crisi. A valle di tale approvazione, il Responsabile della Continuità Operativa deve,
anche con il supporto le parti interessate (interne od esterne alla Struttura Sanitaria):
Identificare, per ogni azione individuata, il responsabile dell’attuazione, i tempi e le risorse
necessarie per la relativa implementazione; Attuare l’azione e verificarne l’efficacia; Attuare, se necessario, modifiche al sistema di BCM; Conservare la documentazione, quale evidenza della natura delle non conformità rilevate,
delle aree di miglioramento, delle azioni correttive/di miglioramento intraprese e delle
relative verifiche di efficacia effettuate.
8 Allegati
8.1 Allegato 3 – Supporto all’individuazione della soluzione tecnologica e delle soluzioni
tecniche.
Al fine di fornire un supporto all’individuazione delle soluzioni di continuità operativa/disaster
recovery, si è proceduto ad individuare delle soluzioni tecnologiche, indicate convenzionalmente
come Tier 1, Tier 2, …, Tier 6, di seguito descritte. Ogni soluzione tecnologica può essere realizzata
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 38/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
secondo una o più soluzioni tecniche. Ne deriva che la “soluzione” di continuità operativa sarà
individuata dalla soluzione tecnologica e dalla soluzione tecnica.
Le tipologie di soluzioni elencate di seguito sono definite in senso generale con riguardo alle
funzionalità richieste e/o da assicurare e come tali non fanno riferimento a specifiche tecnologie e/o
prodotti o soluzioni di mercato.
Tier 1: è la soluzione minimale. Prevede il backup dei dati presso un altro sito tramite
trasporto di supporto (nastro, o altro dispositivo). I dati sono conservati presso il sito remoto.
In tale sito deve essere prevista la disponibilità, in caso di emergenza, sia dello storage disco
dove riversare i dati conservati, sia di un sistema elaborativo in grado di permettere il
ripristino delle funzionalità ICT. Nel caso di affidamento del servizio di custodia ad un
fornitore, tale disponibilità deve essere regolamentata contrattualmente.
Per questa soluzione:
o potrebbero non essere presenti procedure di verifica della presenza dei dati sul
supporto, della coerenza dei dati ed esistere un’unica copia storage; o la disponibilità dei dispositivi (storage disco e sistemi di elaborazione) potrebbe
prevedere tempi non brevi (anche più settimane per l’assegnazione da parte del
fornitore); o la disponibilità dei dispositivi potrebbe non garantire le performance rispetto al
sistema primario; o la disponibilità dei dispositivi potrebbe essere assegnata per un periodo di tempo
limitato.
Poiché i dati salvati possono essere relativi all’intera immagine dello storage primario o solo
ai dati delle elaborazioni, la disponibilità dei dispositivi ausiliari deve essere chiaramente
definita in termini di ambiente hardware e software di riferimento.
Vengono quindi assicurate l’esecuzione e conservazione dei backup e, per i casi in cui si
renda necessario assicurare il ripristino, la disponibilità di un sito “vuoto” attrezzato, pronto a
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 39/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
ricevere le componenti e configurazioni necessarie, ove fosse richiesto, per far fronte
all’emergenza (on demand).
Tier 2: la soluzione è simile a quella del Tier 1, con la differenza che le risorse elaborative
possono essere disponibili in tempi sensibilmente più brevi, viene garantito anche
l’allineamento delle performance rispetto ai sistemi primari ed esiste la possibilità di
prorogare, per un tempo limitato, la disponibilità delle risorse elaborative oltre il massimo
periodo di base. Vengono inoltre assicurate l’esecuzione e conservazione dei backup e la
disponibilità presso il sito dei sistemi e delle configurazioni da poter utilizzare per i casi in cui
si renda necessario il ripristino. Tier 3: la soluzione è simile a quella del Tier 2, con la differenza che il trasferimento dei dati
dal sito primario e quello di DR avviene attraverso un collegamento di rete tra i due siti.
Questa soluzione, che può prevedere tempi di ripristino più veloci rispetto ai Tier precedenti,
rende necessario dotarsi di collegamenti di rete con adeguati parametri di disponibilità,
velocità di trasferimento e sicurezza (sia della linea, sia delle caratteristiche dipendenti dalla
quantità di dati da trasportare) e va periodicamente verificato l’allineamento dei dati.
Tier 4: la soluzione prevede che le risorse elaborative, garantite coerenti con quelle del
centro primario, siano sempre disponibili, permettendo la ripartenza delle funzionalità in
tempi rapidi. Le altre caratteristiche sono quelle del Tier 3, con la possibilità di
aggiornamento dei dati (RPO) con frequenza molto alta, ma non bloccante per le attività
transazionali del centro primario (aggiornamento asincrono).
Tier 5: la soluzione è analoga a quella del Tier 4, con la differenza che l’aggiornamento finale
dei dati avviene solo quando entrambi i siti hanno eseguito e completato i rispettivi
aggiornamenti (aggiornamento sincrono). Allo stato attuale della tecnologia questa soluzione
non può prescindere dalle caratteristiche della connettività sia in termini di distanza, sia in
termini di latenza; ne consegue che tale modalità (sincronizzazione), nonché l’eventuale
bilanciamento geografico del carico di lavoro, risulta difficile oltre significative distanze
fisiche fra sito primario e secondario. Debbono essere attentamente valutati se sussistono,
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 40/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
per aspetti tecnologici, vincoli di operatività del sito primario in caso di problemi su quello
secondario. È quindi fondamentale, per questa tipologia di soluzione, valutare la distanza fra
i siti.
Tier 6: la soluzione prevede che nel sito di DR le risorse elaborative, oltre ad essere sempre
attive, siano funzionalmente “speculari” a quelle del sito primario, rendendo così possibile
ripristinare l’operatività dell’IT in tempi molto ristretti. Le altre caratteristiche sono uguali a
quelle del Tier 5. È fondamentale, per questa tipologia di soluzione, valutare la distanza fra i
siti.
L’Analisi effettuata in fase di Assessment (cfr. par. 4) dovrebbe condurre all’individuazione dei Tier
più adatti, ferma restando possibilità di decidere soluzioni, modalità di backup e ripristino più
elevate di quelle minimali associate allo specifico Tier.
Possono, infatti, coesistere diverse soluzioni, la scelta delle quali dipende da ulteriori fattori legati al
contesto organizzativo e/o tecnologico nonché finanziario di riferimento, ove ad esempio il profilo
finanziario comporti un ostacolo all’adozione della soluzione più adeguata ai risultati dell’analisi
effettuata in fase di Assessment.
Nell’individuazione della soluzione che si intende adottare è opportuno individuare la strategia di
salvataggio dei dati ad esempio: locale/remoto, on-line/off-line; il tipo di trasferimento e la
periodicità; il tipo di salvataggio (totale/incrementale); le modalità di conservazione.
Ove si intenda dotarsi di un sito secondario, è necessario considerare:
le caratteristiche dei collegamenti tra il sito primario ed il secondario, in termini di capacità di
trasmissione, di disponibilità, di ridondanza e possibilità di collegamenti alternativi, ponendo
attenzione in merito a come tali caratteristiche permettano di soddisfare in maniera totale o
parziale le esigenze del servizio; Le modalità di recupero dei dati e di verifica della loro consistenza e completezza; Se e come il trattamento effettuato tramite i servizi ICT presenti nel sito secondario abbia le
stesse caratteristiche di quello primario;
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 41/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
Le modalità di test del DR.
Indipendentemente dal tipo di soluzione che si intenda adottare, essa deve sempre assicurare la
conformità con quanto previsto dal GDPR [1] in relazione alla protezione dei dati personali trattati
dalla Struttura Sanitaria.
Al fine di fornire un supporto all’individuazione dell’opportuno Tier, tra quelli precedentemente
delineati e descritti, si riportano nella seguente tabella, a titolo esemplificativo e non esaustivo, il
livello e gli elementi di massima dei suddetti Tier in relazione ai valori di RTO ed RPO individuati
nella fase di Assessment (cfr. par. 4) ed in particolare nell’esecuzione della BIA (cfr. par. 4.1).
INDICATORI (BIA)LIVELLI DELLESOLUZIONITECNOLOGICHE
ELEMENTI DI MASSIMA DELLA SOLUZIONE TECNICA(soluzioni con almeno due siti)
RTORPOMax
TIER
Descrizionebreve
Modalità minime dicopia/aggiornamentoper il conseguimentodei valori max di RPO
Aspetti minimali connessi al sito di DRMin Max
7g >7g 7g 1 Cold Site - Databackup
Copia su supportirimuovibili
Sito esistente ma da attrezzare conrisorse elaborative/ server soloreperibili.Il sito di DR è predisposto ad accoglierepersonale e apparecchiature, ma rimaneprivo di risorse fino al momento dieffettiva necessità.Di solito consiste solo di un ambientefisico dotato di corrente elettrica e direte dati con idonee misure di sicurezza(es: sistema antincendio ed antifumo;sistema antiallagamento; sistema dialimentazione in grado di garantirel’erogazione di energia elettrica anche afronte di prolungate interruzioni dialimentazione nella cabina di fornitura;sistema d’aria condizionata per garantiretemperatura e umidità costante;impianto per il ricambio d'aria; sistemadi accesso controllato).
3g 7g 7g 2 Warm Site Copia su supportirimuovibili
Il sito dispone di hw e connettività giàfunzionante ma su scala inferiorerispetto al sito principale o a un sito
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 42/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
INDICATORI (BIA)LIVELLI DELLESOLUZIONITECNOLOGICHE
ELEMENTI DI MASSIMA DELLA SOLUZIONE TECNICA(soluzioni con almeno due siti)
RTORPOMax
TIER
Descrizionebreve
Modalità minime dicopia/aggiornamentoper il conseguimentodei valori max di RPO
Aspetti minimali connessi al sito di DRalter-nativo sempre disponibile e conreplica costante dei dati.
1g 3g 1g 3 Warm Site -ElectronicVaulting
Electronic vaulting:soluzione checomporta il backupdei dati presso il sitoalternativo in manieraelettronica, con unariduzione del temponecessario per iltrasporto dei dati e lapossibilità di unrecovery time piùveloce.
Il sito dispone di hardware e connettivitàgià funzionante ma su scala inferiorerispetto al sito principale o ad un sitealternativo sempre disponibile e conreplica costante dei dati.Il backup avviene in modalità elettronicae quindi sono necessari collegamenti frai siti tenuto conto della tipologia,quantità e periodicità dei dati di cuieffettuare il backup.
4h 3g 4h 4 Hot Site - Twoactive sites(scheduledreplicas)
Replica Asincrona Online(risorsa storageaccesa)
Il sito alternative è solitamente “unduplicato” del sito originale con tutti isistemi hardware e la quasi totalità deibackup di dati disponibile. Il sitoalternativo può essere pronto edoperativo in alcune ore o meno. Nelcaso in cui il personale deve esserespostato fisicamente presso il sitosecondario, il sito risulterà operativosolo dal punto di vista del dataprocessing. La piena operatività saràraggiunta quando anche il personaleavrà raggiunto il sito.
1h 4h 5min 5 Continuous -Two phasecommit(synchronous)
Replica Sincrona(risorsa storageaccesa)
È la soluzione che prevede due siti attiviciascuno con capacità sufficiente aprendere in carico il lavoro dell’altro e incui l’aggiornamento del dato avvienesolo quando entrambi i siti hannocompletato l’update (con perdita dei solii dati che in quel momento stanno peressere processati). È fondamentale, perquesta tipologia di soluzione, valutare ladistanza fra i siti.
0min
1h 0min 6 Continuous -Zero data loss(active, loadbalanced)
Replica Sincrona(risorsa storageaccesa)
È la soluzione che prevede due siti attivi,ognuno dei quali possiede capacitàsufficienti a farsi carico del lavorodell’altro; in questa soluzione il carico dilavoro da un sito all’altro si trasferisce
Store: Print date: Codice di riservatezza
Codice documento: Definizione delle politiche e linee guida in ottica compliance Pag. 43/43Titolo Documento: Linea Guida per la continuità dei sistemi e delle informazioni
Data: 28/09/2020
Versione: n.1.0
Nome file: Linea guida continuità operativa dei sistemi e delle
informazioni.docx
Doc. Attachment N.: 0
INDICATORI (BIA)LIVELLI DELLESOLUZIONITECNOLOGICHE
ELEMENTI DI MASSIMA DELLA SOLUZIONE TECNICA(soluzioni con almeno due siti)
RTORPOMax
TIER
Descrizionebreve
Modalità minime dicopia/aggiornamentoper il conseguimentodei valori max di RPO
Aspetti minimali connessi al sito di DRimmediatamente ed automaticamente.È fondamentale, per questa tipologia disoluzione, valutare la distanza fra i siti.
Tabella 3 – Soluzioni tecnologiche (Tier)
Store: Print date: Codice di riservatezza