GRC dei Servizi IT nel settore finance: standard ISO 20000-1 ISO 27001, ISO 22301 e circolari 263 e 285 di Banca di Italia
Come noto, le Organizzazioni che operano nel settore finance (istituti di credito, società finanziarie, etc.) sono soggette ad attività di vigilanza da parte di Banca di Italia sulla base di quanto disposto dalla Circolare n. 263 del 27 dicembre 2006 e successivi aggiornamenti recante “Nuove disposizioni di vigilanza prudenziale per le banche “, e dalla Circolare n. 285 del 17 dicembre 2013 e successivi aggiornamenti recante “Disposizioni di vigilanza per le banche “.
Sia la Circolare 263 sia la circolare 285 definiscono anche specifici requisiti in materia di Governance, Risk Management e Compliance (GRC) dei Sistemi IT.
La Circolare 263 tratta i requisiti applicabili ai Sistemi IT nel Titolo V , sia al l Capitolo 8 “Il Sistema dei Controlli Interni” che contiene disposizioni di carattere generale, il governo e l’organizzazione del sistema informativo, l’analisi del rischio informatico, la gestione della sicurezza informatica, il sistema di gestione dei dati, l’esternalizzazione del sistema informativo, sia al Capitolo 9 “La continuità Operativa” che contiene disposizioni inerenti i requisiti per la continuità operativa di carattere generale per tutti gli operatori e requisiti particolari per i processi aventi rilevanza sistemica.
La Circolare 285 tratta i requisiti applicabili ai Sistemi IT nel Titolo IV, sia al Capitolo 4 “ il sistema informativo” che contiene disposizioni di carattere generale, governo e organizzazione del sistema informativo , l’analisi del rischio informatico, la gestione della sicurezza informatica, il sistema di gestione dei dati, l’esternalizzazione del sistema informativo, documenti aziendali per la gestione e controllo del sistema informativo, sia al Capitolo 5 “la continuità operativa” che contiene requisiti per la continuità operativa, disposizioni di carattere generale, requisiti per tutti gli operatori e requisiti particolari per i processi a rilevanza sistemica
I requisiti delle circolari 263 e 285 sono articolati e soggetti a continua evoluzione. Da qui l’opportunità di un approccio sistemico alla gestione dei requisiti applicabili in materia di GRC dei Sistemi Informativi facendo riferimento alle linee guida degli standard ISO/IEC 38500: 2015 «Information technology — Governance of IT for the organization”, UNI EN ISO 31000:2010 “Gestione del Rischio– Principi e Linee Guida”, ISO 19600:2014 «Compliance management systems — Guidelines».
Tra i vantaggi di un moderno approccio sistemico alla gestione dei requisiti di GRC applicabili ai Sistemi IT rientra anche la possibilità di sviluppare un sistema di gestione integrato per la gestione dei Servizi IT in conformità allo standard UNI EN ISO IEC 20000-1: 2011 “ tecnologie delle informazioni – gestione del servizio – parte 1: requisiti” , per la gestione della sicurezza delle informazioni in conformità allo Standard UNI CEI ISO IEC 27001:2013 «tecnologie informatiche- tecniche per la sicurezza delle informazioni – sistemi di gestione per la sicurezza delle informazioni – requisiti» e per la gestione della continuità operativa in conformità allo Standard ISO 22301:2012 «societal security – business continuity management systems – requirements».