Risk Assessment Clausole campione

Risk Assessment. Nel predisporre il proprio sistema di controllo in grado di prevenire il rischio di commissione Reati ed in linea con i requisiti del d. lgs. 231/2001, DASIT ha svolto una serie di attività adottando il flusso per la Gestione del Rischio riportato qui di seguito ed illustrato nelle pagine seguenti. Mappatura delle aree/ processi a rischio

Risk Assessment. Al Fornitore è richiesta la realizzazione di un’attività di Risk Assessment, finalizzata ad acquisire visibilità e consapevolezza sul livello d’esposizione al rischio dell’Amministrazione. Le minacce saranno quindi identificate e correlate a specifici scenari di crisi, tra i quali: • impossibilità di accedere a un edificio aziendale; • indisponibilità di risorse critiche; • indisponibilità del sistema IT; • indisponibilità di fornitori/servizi IT critici; • indisponibilità di collegamenti con la rete dati esterna; • disastro ambientale. La lista sopra fornita è da considerarsi indicativa, mentre quella definitiva verrà condivisa con l’Amministrazione nel corso delle attività progettuali. L’attività di Risk Assessment dovrà essere effettuata attraverso l’utilizzo di consolidate metodologie di analisi dei rischi specifici per la Business Continuity. Si richiede la realizzazione di un Piano di Continuità Operativa (Business Continuity Plan, BCP) elaborato sulla base dell’ultima versione della Business Impact Analysis. Esso dovrà definire, in maniera chiara e dettagliata, le azioni da intraprendere prima, durante e dopo, una condizione d’emergenza per assicurare la continuità del servizio. Si fornisce di seguito un elenco dei possibili scenari che potrebbero essere inclusi nel BCP, fermo restando che la versione definitiva verrà condivisa con l’Amministrazione nel corso delle attività progettuali: • interruzione dei Sistemi Informativi; • distruzione/Indisponibilità degli edifici; • indisponibilità del personale; • interruzione dei servizi infrastrutturali. Il Piano dovrà indirizzare almeno le seguenti tematiche: • descrizione del perimetro di copertura, le procedure di attivazione del Piano e di valutazione del danno; • fase di ripristino e di rientro alla condizione iniziale; • i ruoli/responsabilità e meccanismi di coordinamento previsiti. Per verificare l’effettiva funzionalità del sistema è richiesto un test “live” delle procedure di Ripristino. In orario e data da concordare con l’amministrazione verrà simulato un “fault” e si dovrà verificare lavalidità delle procedure di ripristino implementate

Risk Assessment. La prima fase prevede individuare di tutti i rischi connessi alla gestione e alla conduzione dell’intero progetto. I rischi individuati tempestivamente possono essere trattati con successo. L'efficiente identificazione e valutazione di un rischio dipende da: • la conoscenza e la comprensione costante e completa degli obiettivi; • l’esperienza maturata in situazioni analoghe che consenta di tracciare e alimentare le cosiddette “lessons learned” che costituiscono un bagaglio culturale di utile riuso.

Risk Assessment. Attività “a giorni/persona”

Risk Assessment. Gli assessment di valutazione del rischio, dei gradi di accettabilità e delle contromisure da mettere in essere andranno ripetuti con la frequenza minima richiesta dal PNSC mediante il coinvolgimento di tutte le figure identificate dai ruoli e dalle responsabilità. Devono essere adeguati e mantenuti aggiornati i documenti di Business Impact Analysis e le procedure, ove richiesto, oltre che le eventuali tecnologie hardware e software impiegate. Le relazioni di analisi del rischio costituiranno parte integrante della documentazione del sistema di gestione della cybersecurity. È richiesta la conduzione di assessment periodici, con le frequenze minime richieste dal PSNC, per la valutazione dei livelli di vulnerabilità e di penetrabilità degli impianti IT. Redazione delle relazioni sugli assessment effettuati e produzione delle indicazioni per gli adeguamenti sia alle infrastrutture informatiche che alle procedure per ottemperare alla riduzione dei rischi rilevati. Raccolta e trasmissione degli esiti di assessment al PSNC ove richiesto.

Risk Assessment. In un questo ambito si inquadrano tutte le attività volte a ridurre al minimo i rischi di perdita dati, disservizi e accessi indebiti da parte di soggetti non autorizzati, anche da parte di hacker esterni. Una parte di queste attività vengono svolte dalle funzioni di IPS/IDS integrate nei sistemi firewall Fortinet regionali utilizzati anche dai sistemi informativi di Veneto Lavoro in hosting presso Direzione ICT di Regione del Veneto. 1.5.1. Potenziamento della piattaforma hardware

Risk Assessment. Il risk assessment definisce, per ogni fase del processo, quali sono gli eventi critici o i possibili problemi associati, i potenziali effetti del manifestarsi dei suddetti problemi, le potenziali cause e quali sono i controlli in essere per garantire che il pericolo/rischio sia sotto controllo. Per ciascun processo, l’appaltatore dovrà condurre un’analisi del rischio, al fine di evidenziare tutte le criticità che dovranno essere poste sotto controllo e accuratamente gestite, anche secondo il sistema di change control.

Risk Assessment. Il Risk Assessment è uno strumento di analisi, semplice e accurato, che studia i rischi dell’organizzazione (operativi, strategici, finanziari ed esterni) al fine d’individuare successivamente le soluzioni e le misure più adeguate.

Risk Assessment. Già descritto nel paragrafo 16.3