GRC dei Servizi IT nel settore finance: standard ISO 20000-1 ISO 27001, ISO 22301 e circolari 263 e 285 di Banca di Italia

Come noto, le Organizzazioni che operano nel settore finance (istituti di credito, società finanziarie, etc.) sono soggette ad attività di vigilanza da parte di Banca di Italia sulla base di quanto disposto dalla   Circolare n. 263 del 27 dicembre 2006 e successivi aggiornamenti recante “Nuove disposizioni di vigilanza prudenziale per le banche “, e dalla Circolare n. 285 del 17 dicembre 2013 e successivi aggiornamenti recante “Disposizioni di vigilanza per le banche “.

Sia la Circolare 263 sia la circolare 285 definiscono anche specifici requisiti in materia di Governance, Risk Management e Compliance (GRC) dei Sistemi IT.

La Circolare 263 tratta i requisiti applicabili ai  Sistemi IT nel Titolo V , sia al l Capitolo 8 Il Sistema dei Controlli Interni” che contiene  disposizioni di carattere generale, il governo e l’organizzazione del sistema informativo, l’analisi del rischio informatico, la gestione della sicurezza informatica, il sistema di gestione dei dati, l’esternalizzazione del sistema informativo, sia al  Capitolo 9La continuità Operativa” che contiene disposizioni inerenti i requisiti per la continuità operativa di carattere generale per tutti gli operatori e requisiti particolari per i processi aventi rilevanza sistemica.

La Circolare 285 tratta i requisiti applicabili ai Sistemi IT nel Titolo IV, sia al  Capitolo 4il sistema informativo” che contiene  disposizioni di carattere generale, governo e organizzazione del sistema informativo ,  l’analisi del rischio informatico, la gestione della sicurezza informatica,  il sistema di gestione dei dati,  l’esternalizzazione del sistema informativo,   documenti aziendali per la gestione e controllo del sistema informativo, sia al Capitolo 5  “la continuità operativa” che contiene  requisiti per la continuità operativa,  disposizioni di carattere generale,  requisiti per tutti gli operatori e  requisiti particolari per i processi a rilevanza sistemica

I requisiti delle circolari 263 e 285 sono articolati e soggetti a continua evoluzione.  Da qui l’opportunità di un approccio sistemico alla gestione dei requisiti applicabili in materia di GRC dei Sistemi Informativi facendo riferimento alle linee guida degli standard ISO/IEC 38500: 2015 «Information technology — Governance of IT for the organization”, UNI EN ISO 31000:2010 “Gestione del Rischio– Principi e Linee Guida”, ISO 19600:2014 «Compliance management systems — Guidelines».

Tra i vantaggi di  un moderno approccio sistemico alla gestione dei requisiti  di GRC applicabili ai Sistemi IT rientra anche la possibilità di sviluppare un sistema di gestione integrato per la gestione dei Servizi  IT in conformità allo standard  UNI  EN  ISO IEC 20000-1: 2011 “ tecnologie delle informazioni – gestione del servizio – parte 1: requisiti” , per la gestione della sicurezza delle informazioni in conformità allo Standard UNI CEI ISO IEC 27001:2013 «tecnologie informatiche- tecniche per la sicurezza delle informazioni – sistemi di gestione per la sicurezza delle informazioni – requisiti»  e per la gestione della continuità operativa  in conformità allo Standard ISO 22301:2012  «societal security – business continuity management systems – requirements».

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *