Raccomandazioni per il Business Continuity Management (BCM) - Novembre 2007
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Novembre 2007 Raccomandazioni per il Business Continuity Management (BCM)
Raccomandazioni per il
Business Continuity Management (BCM)
Indice
1. Premessa e obiettivi .................................................................................................................. 2
2. Relazione con il gruppo di lavoro «BCP Piazza finanziaria svizzera» ........................................ 2
2.1 Indicazioni generali ...................................................................................................................................... 2
2.2 Condizioni quadro ........................................................................................................................................ 3
3. Fondamenti ............................................................................................................................... 3
4. Ambito di applicazione e possibili scenari ................................................................................ 4
5. Raccomandazioni ...................................................................................................................... 4
5.1 Definizione ed estensione........................................................................................................................... 4
5.2 Componenti ................................................................................................................................................... 5
5.3 Responsabilità ............................................................................................................................................... 6
5.4 Business Recovery Planning e sua verifica ............................................................................................... 6
5.4.1 Business Impact Analysis (standard minimo obbligatorio) ........................................................... 6
5.4.2 Business Continuity Strategy (standard minimo obbligatorio) .................................................... 7
5.4.3 Business Continuity Planning ............................................................................................................. 7
5.4.4 Business Continuity Review ................................................................................................................ 7
5.4.5 Business Continuity Test ...................................................................................................................... 7
5.5 Gestione delle crisi ....................................................................................................................................... 7
5.6 Reportistica, comunicazione, formazione ................................................................................................ 8
5.6.1 Reportistica ............................................................................................................................................ 8
5.6.2 Comunicazione...................................................................................................................................... 8
5.6.3 Formazione e sensibilizzazione .......................................................................................................... 8
6. Entrata in vigore e disposizioni transitorie ............................................................................... 8
Appendice A – Glossario ............................................................................................................... 9
Appendice B – Scala di gravità degli eventi ................................................................................ 11
Appendice C – Andamento di una crisi........................................................................................ 12
Appendice D – Fonti di riferimento ............................................................................................. 13
Raccomandazioni della ASB per il Business Continuity Management (BCM) 11. Premessa e obiettivi Molti degli eventi accaduti negli ultimi anni, in particolare gli atti terroristici e le minacce di pandemia, hanno messo in evidenza la vulnerabilità degli operatori e dei sistemi del mercato finanziario. Di pari passo si sono acuite la sensibilità e l’attenzione verso avvenimenti del genere e le loro possibili conseguenze. A livello internazionale e nazionale le associazioni di categoria hanno diramato direttive e raccomandazioni nell’ambito del Business Continuity Management (BCM), formulando delle linee guida valide sia per gli operatori delle piazze finanziarie che per le autorità di sorveglianza. La Commissione federale delle banche (CFB) considera un adeguato Business Continuity Management uno dei requisiti indispensabili per l’ottenimento da parte di una banca dell’autorizzazione a svolgere la propria attività, conformemente a quanto disposto all’art. 3 della legge sulle banche. La CFB appoggia l’emanazione di una normativa autonoma a cura dall’Associazione svizzera dei banchieri (ASB). La presente autoregolamentazione dell’ASB, destinata ai suoi membri, contiene una serie di raccomandazioni («best practice») per l’allestimento di un BCM in seno a ogni istituto che deve tenere conto degli aspetti peculiari della situazione specifica, soprattutto per quanto attiene la situazione di rischio e la rilevanza sistemica dei singoli istituti. Le indicazioni contenute in questo testo sono da intendere quali raccomandazioni senza carattere vincolante, così come definite dalla Circolare CFB 04/2 Norme di autoregolamentazione come standard minimo. Uniche eccezioni sono lo svolgimento di una Business Impact Analysis (paragrafo 5.4.1) e la definizione della Business Continuity Strategy (paragrafo 5.4.2). Questi due importanti aspetti sono considerati dalla CFB quale standard minimo obbligatorio. L’ambito di applicazione delle presenti raccomandazioni si estende a tutte le banche e a tutti i commercianti di valori mobiliari (in seguito: istituti). Non sono contemplati gli effetti delle raccomandazioni sul rapporto di diritto civile tra l’istituto e i propri clienti. 2. Relazione con il gruppo di lavoro «BCP Piazza finanziaria svizzera» 2.1 Indicazioni generali Per far fronte a eventuali disfunzioni impreviste che sorgono all’interno della rete del sistema finanziario è necessario che tutti i principali operatori intervengano in modo coordinato e solo dopo aver definito, armonizzato e applicato le procedure del caso. Nel dicembre 2003 è stato istituito in Svizzera il «BCP Piazza finanziaria svizzera», un gruppo di lavoro composto da rappresentanti degli interessi del mondo finanziario e presieduto dalla Banca nazionale svizzera (BNS), che si prefigge di verificare e valutare il Business Continuity Planning dei singoli istituti e provider di infrastrutture sulla piazza finanziaria svizzera. Il controllo si è concentrato sui processi che possono pregiudicare la stabilità del mercato finanziario. Partendo da un’analisi preliminare dei rischi, il gruppo di lavoro ha individuato due processi critici in termini di sicurezza: i «pagamenti di grossi importi tramite SIC» e la «raccolta di liquidità con operazioni Repo». In quest’ottica, gli altri settori delicati quali il regolamento dei pagamenti retail, l’approvvigionamento di contante da parte della popolazione e la negoziazione di borsa sono stati ritenuti non prioritari. Sulla scorta delle risultanze degli esami svolti, la BNS ha sollecitato le infrastrutture centrali Telekurs / SIC e SIS a integrare i requisiti relativi al BCM nei propri dispositivi contrattuali con i partecipanti al sistema. Raccomandazioni della ASB per il Business Continuity Management (BCM) 2
2.2 Condizioni quadro
In linea con le prescrizioni in materia impartite dal Federal Reserve System (Fed, vedi appendice
D), il gruppo di lavoro ha proceduto a fissare i seguenti requisiti per i due processi principali
«pagamenti di grossi importi tramite SIC» e «raccolta di liquidità con operazioni Repo» (vedi
definizioni nell’appendice A):
Obiettivi di recovery
Partecipanti al sistema finanziario RTO = Recovery Time Objective
RPO = Recovery Point Objective
Infrastrutture centrali (BNS, SIC e SIS) RTO6. Gli operatori del mercato finanziario e le autorità di sorveglianza devono sottoporre il loro
Business Continuity Planning a test periodici, per verificarne l’efficacia e l’affidabilità ed
eventualmente adeguare di conseguenza il Business Continuity Management.
7. Si raccomanda alle autorità di sorveglianza di valutare, nel quadro di un monitoraggio
costante, il Business Continuity Management degli istituti sottoposti al loro controllo.
4. Ambito di applicazione e possibili scenari
Gli istituti devono considerare tutti i principali scenari che possono portare l’azienda a una crisi.
Per «crisi» si intende una situazione di emergenza che richiede decisioni critiche e che esula dalle
normali competenze direttive e decisionali e non può essere gestita con i mezzi ordinari. In questa
accezione, gli «incidenti» non sono oggetto delle presenti raccomandazioni («Availability
Management», vedi definizioni nelle appendici A e B). Esempi di situazioni di crisi:
• eventi a carattere «accidentale» come incendi o esplosioni
• atti di matrice terroristica, sabotaggi
• catastrofi naturali come inondazioni o terremoti
• assenza massiccia di personale (ad es. a causa di una pandemia)
• avaria degli impianti tecnici degli edifici e/o di quelli di alimentazione energetica (ad es.
elettricità)
• interruzione dei sistemi o delle infrastrutture IT (errori dell’hardware o dei software)
• interruzione dei sistemi di comunicazione o defezione dei provider telecom
• assenza dei fornitori esterni (vedi Outsourcing), ad es. provider nel settore delle informazioni.
Gli istituti devono individuare, nel quadro del BCM, i pericoli più gravi e i tipi di crisi,
definendoli e valutandoli in base al loro impatto (scala di gravità) e alla loro probabilità.
Questi eventi possono comportare in particolare l’indisponibilità di collaboratori e/o di elementi
infrastrutturali (soprattutto a livello direttivo, delle telecomunicazioni, degli edifici e delle
postazioni di lavoro) necessari per lo svolgimento di funzioni operative critiche. Non è inoltre da
escludere che eventuali problemi nelle prestazioni informatiche o presso i provider delle
infrastrutture possano causare interruzioni non tollerabili dei servizi critici.
Per quanto riguarda il rischio di pandemie si rimanda agli scenari e alle raccomandazioni
dell’Ufficio federale della sanità pubblica (UFSP) e specificatamente al «Piano pandemico svizzero
2006» (cap. 8 «Pandemia e aziende») riportato al sito www.bag.admin.ch/influenza.
Il BCM deve garantire, nel modo migliore possibile, l’osservanza delle disposizioni legali,
normative, contrattuali e interne anche in caso di crisi.
5. Raccomandazioni
5.1 Definizione ed estensione
Con l’espressione Business Continuity Management (BCM) si designa un approccio su scala
aziendale in grado di assicurare che, al verificarsi di eventi straordinari interni o esterni, le
funzioni operative critiche continuino a essere svolte o vengano ripristinate nel più breve tempo
possibile. Tra i suoi scopi il BCM mira a minimizzare i danni finanziari, legali o di reputazione
conseguenti a tali eventi.
Nel suo complesso il BCM deve garantire la continuità o la ripresa tempestiva dell’attività
operativa nelle situazioni di crisi. Il BCM concerne quindi, in linea di principio, tutti i settori
Raccomandazioni della ASB per il Business Continuity Management (BCM) 4operativi e organizzativi di un’azienda. A questo proposito occorre fare una distinzione tra il
Business Recovery Planning a monte e la gestione delle crisi effettivamente svolta.
Nella Business Continuity Strategy l’istituto definisce le proprie procedure generali in caso di
perdita delle risorse critiche. Per farlo vengono individuate, nel contesto di una Business Impact
Analysis, le risorse e i processi operativi che presentano una criticità e vengono fissati tempi
congrui per il loro ripristino e la loro disponibilità. La Business Continuity Strategy costituisce la
base per il Business Continuity Planning, che stabilisce (sotto forma di piani preventivi
d’intervento, check list e strumenti ausiliari di lavoro) le procedure per una ripresa rapida e
ordinata dell’attività operativa. La Business Continuity Strategy può costituire parte integrante
della strategia operativa dell’istituto. Nel caso in cui si intenda assumere intenzionalmente alcuni
rischi residui, è obbligatorio farne menzione esplicita nella strategia.
L’allestimento e l’attuazione di un BCM prevedono in particolare le seguenti operazioni:
• determinazione e fissazione dell’estensione del BCM
• ancoraggio del BCM all’interno dell’organizzazione aziendale
• creazione di una struttura di governance in linea con l’organizzazione aziendale
• definizione dei ruoli e delle responsabilità nel BCM
• delineazione degli scenari di crisi (vedi cap. 4) e delle ripercussioni sulle risorse dell’azienda
(base di pianificazione)
• individuazione delle risorse e dei processi operativi che presentano una criticità ed esame, nel
quadro della Business Impact Analysis (BIA), delle conseguenze di eventuali interruzioni
dell’attività operativa
• definizione della Business Continuity Strategy per il trattamento generale di eventuali perdite
di singole risorse dell’architettura operativa
• redazione di Business Continuity Planning volti a ripristinare le risorse e i processi critici ai
fini operativi dopo situazioni di crisi
• svolgimento di Business Continuity Review e di Business Continuity Test relativi ai Business
Continuity Planning e all’organizzazione della gestione delle crisi
• reportistica, comunicazione, formazione.
5.2 Componenti
Una situazione di crisi è caratterizzata dall’assenza totale o parziale di risorse oppure
dall’interruzione di uno o più processi. Per lo svolgimento regolare dei processi occorre in
generale poter disporre delle seguenti risorse:
• collaboratori
• edifici
• IT/dati
• fornitori esterni.
È quindi consigliabile, nel quadro del Business Recovery Planning, considerare in primo luogo la
perdita di queste risorse.
Il BCM deve contenere in particolare le seguenti componenti:
Business Impact Analysis Individuazione dei processi operativi che presentano una
criticità e delle relative risorse, identificazione e
descrizione delle ripercussioni di eventuali interruzioni
dell’attività operativa in seguito alla perdita di una o più
risorse critiche.
Raccomandazioni della ASB per il Business Continuity Management (BCM) 5Business Continuity Definizione delle procedure generali in caso di perdita delle
Strategy risorse critiche, decisioni fondamentali sull’approntamento
delle risorse sostitutive.
Business Continuity Piano circostanziato relativo alle misure atte a garantire la
Planning continuazione dell’attività operativa o la ripresa
tempestiva dei processi critici.
Pianificazione dettagliata delle procedure e delle
responsabilità in caso di perdita di risorse critiche.
Business Continuity Testing Verifica a intervalli periodici dei Business Continuity
Planning sotto il profilo della loro implementazione,
efficacia e attualità.
Organizzazione della L’organizzazione della gestione delle crisi ha lo scopo di
gestione delle crisi approntare un apposito management nei casi di emergenza
che affronti e risolva con efficacia le situazioni di crisi.
BCM Reporting Reportistica sulle attività del BCM e sullo stato degli
interventi propedeutici per far fronte alle crisi operative
(anche all’attenzione del Consiglio di amministrazione e
della direzione).
BCM Training Formazione tecnica dei collaboratori che hanno assunto
delle funzioni nell’ambito del BCM.
BCM Communication Misure per la comunicazione interna ed esterna nei casi di
crisi.
5.3 Responsabilità
La responsabilità del BCM ricade sul Consiglio di amministrazione e sulla direzione dei singoli
istituti (si veda al riguardo anche la circolare della CFB «Sorveglianza e controllo interno», circ.
CFB 06/6).
Il Consiglio di amministrazione deve farsi carico del controllo dell’ottemperanza alla strategia
BCM formalizzata per iscritto. La direzione provvede a realizzarla e disciplina le altre
responsabilità, competenze e i flussi informativi mediante direttive e regolamenti interni. In
particolare la direzione regola (previa autorizzazione del Consiglio di amministrazione) i propri
rapporti con l’organizzazione di crisi (unità di crisi).
5.4 Business Recovery Planning e sua verifica
5.4.1 Business Impact Analysis (standard minimo obbligatorio)
Ogni settore operativo deve determinare le proprie risorse e i propri processi critici. Nel quadro
di un’analisi dell’impatto vengono valutate le ripercussioni sui processi critici ai fini operativi di
una perdita totale o parziale delle relative risorse.
La valutazione comprende anche le interconnessioni tra settori operativi (processi a monte/a valle)
e i rapporti di dipendenza dai provider esterni (outsourcing).
L’analisi deve permettere di ottenere i seguenti risultati:
Raccomandazioni della ASB per il Business Continuity Management (BCM) 6• grado auspicato di ripristino dei processi critici ai fini operativi
• periodo massimo di tempo per il ripristino dei processi critici ai fini operativi
• consistenza minima di risorse (sostitutive), in termini di edifici, collaboratori, IT/dati,
provider esterni, che in caso di crisi devono essere disponibili per raggiungere il grado
auspicato di ripristino.
La frequenza dell’aggiornamento della Business Impact Analysis dipende soprattutto dalla
situazione di rischio dell’istituto.
5.4.2 Business Continuity Strategy (standard minimo obbligatorio)
La Business Continuity Strategy stabilisce le linee direttrici da seguire per il conseguimento da
parte dell’azienda degli obiettivi di recovery fissati nella Business Impact Analysis per gli scenari
delineati e per le relative ripercussioni sulle risorse. La strategia deve essere formulata per iscritto.
5.4.3 Business Continuity Planning
Il Business Continuity Planning descrive le procedure necessarie per il ripristino o la
continuazione dei processi critici ai fini operativi (inclusa l’osservanza delle disposizioni legali,
normative, contrattuali e interne), le soluzioni di rimpiazzo e le risorse sostitutive minime per
realizzarle. I piani devono contenere almeno i seguenti elementi: descrizione del caso di
applicazione (scenario scatenante), procedure e repertorio delle misure con le rispettive priorità,
risorse sostitutive necessarie e indicazione dell’organizzazione di crisi con le specifiche
responsabilità e competenze.
È opportuno fissare la periodicità con cui il Business Continuity Planning sarà sottoposto ad
aggiornamento. Modifiche sostanziali dell’attività operativa esigono una revisione della
pianificazione.
5.4.4 Business Continuity Review
Le Business Continuity Review contengono un inventario della documentazione BCM elaborata
dai singoli settori operativi e una valutazione della sua conformità ai criteri di esame prestabiliti.
È consigliabile definire dei criteri di esame coerenti e un chiaro processo per il monitoraggio e
l’espletamento dei punti in sospeso.
5.4.5 Business Continuity Test
I Business Continuity Test servono a esaminare e verificare l’implementazione del Business
Continuity Planning e la capacità dell’organizzazione della gestione delle crisi. Il contenuto e la
frequenza dei singoli test devono essere fissati in funzione della valutazione dei rischi (Business
Impact Analysis). L’aggregazione dei risultati dei test delle singole unità organizzative permette di
valutare la capacità dell’intero istituto di far fronte alle situazioni di crisi.
Si raccomanda di coordinare le singole attività di test inserendole in un piano sistematico e di
prevedere una reportistica omogenea, oltre a un processo di monitoraggio e rimozione delle
carenze.
5.5 Gestione delle crisi
Si deve mirare ad approntare un apposito management nei casi di emergenza che affronti e risolva
con efficacia e tempestività le situazioni di crisi. In tali circostanze, che richiedono decisioni
critiche nonché misure e competenze che vanno oltre la normale amministrazione, si ricorre
all’attivazione di una (o più) unità di crisi che assume la gestione dell’emergenza fino al
ristabilimento della situazione normale.
Raccomandazioni della ASB per il Business Continuity Management (BCM) 7È consigliabile disciplinare preventivamente in modo chiaro le modalità di attivazione, le responsabilità e le competenze dell’unità di crisi, adeguando l’organizzazione della gestione delle crisi all’attività operativa e all’assetto geografico dell’istituto. Occorre prestare particolare attenzione a garantire, nel miglior modo possibile, la reperibilità dei responsabili designati, anche nelle situazioni di crisi. 5.6 Reportistica, comunicazione, formazione 5.6.1 Reportistica Le attività del BCM e, in generale, lo stato degli interventi propedeutici per far fronte alle situazioni di crisi devono essere oggetto di rapporti redatti a cadenza periodica ai vari livelli, destinati al Consiglio di amministrazione e alla direzione. In essi devono essere riportati in particolare i risultati delle Business Continuity Review e dei Business Continuity Test. 5.6.2 Comunicazione La comunicazione ricopre un ruolo primario nella gestione delle crisi. L’allestimento sistematico e accurato di modelli concettuali e piani di comunicazione (verso l’interno e verso l’esterno) nei casi di crisi esige quindi la massima cura. Occorre in special modo mantenere un grado elevato di professionalità e salvaguardare la credibilità e la fiducia dei partner nell’istituto. I piani di comunicazione devono indicare le persone di contatto in caso di crisi (elenco con nomi e numeri di telefono delle autorità di sorveglianza, collaboratori, media, clienti, controparti, fornitori ecc.). Se la crisi diviene di portata internazionale è necessario che la comunicazione venga orientata di conseguenza. L’autorità di sorveglianza deve essere debitamente informata su un’eventuale situazione di crisi o sull’istituzione di un’unità di crisi. 5.6.3 Formazione e sensibilizzazione Deve essere garantita un’adeguata istruzione dei collaboratori, in modo che siano perfettamente al corrente dei loro compiti, delle loro responsabilità e competenze nell’ambito delle rispettive attività del BCM. Occorre quindi prevedere una formazione ad hoc dei nuovi assunti e aggiornamenti periodici delle conoscenze del personale in servizio. Un’attenzione particolare deve essere dedicata alla formazione dei membri dell’organizzazione di crisi. È inoltre necessario far sì, con l’aiuto di una costante campagna d’informazione, che tutti i collaboratori siano sensibilizzati sull’importanza del BCM e ne seguano progressivamente l’evoluzione. 6. Entrata in vigore e disposizioni transitorie Le presenti raccomandazioni sono state emanate dal Consiglio d’ amministrazione dell’ASB con decisione del 18 giugno 2007 è approvate dalla CFB in data 19 ottobre 2007. Entrano in vigore il 1° gennaio 2008. Si raccomanda a gli istituti ad applicare le presenti raccomandazioni entro il 31 dicembre 2009. Raccomandazioni della ASB per il Business Continuity Management (BCM) 8
Appendice A – Glossario Availability Management: procedura comprendente la definizione, l’analisi, la pianificazione, la misurazione e l’ottimizzazione di tutti gli aspetti che influiscono sulla disponibilità dei servizi informatici. L’Availability Management garantisce che l’infrastruttura IT nel suo complesso, vale a dire tutti i processi, tool e compiti ecc. in ambito informatico, corrispondano ai canoni stabiliti nei Service Level Agreement per quanto concerne la disponibilità. Gli eventi che pregiudicano tale disponibilità possono essere controllati mediante le usuali procedure gestionali e competenze decisionali. Backlog Processing: trattamento a posteriori di lavori non ancora evasi o accumulati a causa di un’interruzione dei processi operativi o l’adozione di processi alternativi. Business Continuity Management (BCM): approccio gestionale su scala aziendale (policy e standard) in grado di assicurare che, al verificarsi di un evento straordinario interno o esterno, le funzioni critiche continuino a essere svolte o vengano ripristinate nel più breve tempo possibile. Il BCM comprende le fasi di pianificazione, implementazione e controlling e si estende all’intera sfera di pertinenza (settori, processi, tecniche) necessaria per garantire la continuità dei processi critici (ai fini operativi) dopo un evento straordinario o il ripristino dell’operatività entro un periodo di tempo predefinito. Business Continuity Planning: piano preventivo circostanziato relativo alle misure (incl. check list e strumenti ausiliari) atte a garantire la continuazione dell’attività operativa o la ripresa tempestiva e ordinata dei processi critici (ai fini operativi) in casi di emergenza. Business Continuity Reporting: reportistica (anche all’attenzione del Consiglio di amministrazione e della direzione) sulle attività nell’ambito del BCM e specificatamente sullo stato degli interventi propedeutici per far fronte alle crisi. Nei Business Continuity Reporting devono essere riportati in particolare i risultati delle Business Continuity Review e dei Business Continuity Test. Business Continuity Strategy: definizione delle procedure generali per il mantenimento di un’attività operativa continuativa in caso di perdita delle risorse critiche (incl. determinazione del limite di tolleranza al rischio, analisi delle opzioni di manovra e delle decisioni fondamentali per l’approntamento di risorse sostitutive). La Business Continuity Strategy poggia sulla Business Impact Analysis e costituisce la base per i Business Continuity Planning. Business Continuity Testing: verifica sistematica a intervalli periodici dei Business Continuity Planning, in particolare sotto il profilo della loro implementazione, efficacia e attualità. Business Impact Analysis (BIA): procedura di individuazione e di misurazione (quantitativa e qualitativa) delle ripercussioni di eventuali interruzioni dell’attività operativa o di singole risorse o singoli processi. La BIA comprende in particolare l’individuazione di risorse e processi critici (ai fini operativi) sulla scorta di un’analisi dei rapporti di dipendenza e delle conseguenze nonché di una valutazione e classificazione dei potenziali danni. Business Recovery: ripristino di specifici processi e attività operative dopo un’interruzione o misure da adottare in seguito a un evento dannoso (vedi Business Continuity Planning). Business Resumption: soluzioni transitorie per i processi finalizzate alla ripresa dell’attività operativa. Tali soluzioni possono essere realizzate in varie tappe fino alla normalizzazione dell’attività operativa o al ripristino della piena capacità. Crisi: situazione di emergenza che richiede decisioni critiche e che esula dalle normali competenze direttive e decisionali e non può essere gestita con i mezzi ordinari. Raccomandazioni della ASB per il Business Continuity Management (BCM) 9
Incidente: evento che causa un’interruzione dell’attività operativa, una perdita e/o una limitazione della qualità dei servizi erogati. A differenza della crisi, il guasto può essere gestito nel quadro dell’Availability Management. Processi critici (ai fini operativi): processi di un’azienda la cui interruzione compromette fortemente o rende impossibile la continuazione dell’erogazione dei servizi alla clientela, l’osservanza degli obblighi legali dell’azienda e/o la gestione delle posizioni a rischio, causando un danno critico (diretto o indiretto). Recovery Point Objective (RPO): valore definito pari alla perdita massima di dati sostenibile in caso di crisi. Recovery Time Objective (RTO): periodo definito entro il quale i processi critici (ai fini operativi) devono essere ripristinati. Risorse critiche: risorse di un’azienda (personale, edifici, IT/dati, fornitori esterni ecc.) che, in caso di defezione, comportano l’interruzione o la perdita di processi operativi (critici). Le risorse critiche vengono identificate nel quadro della Business Impact Analysis. Unità di crisi: team a cui viene affidata la responsabilità di far fronte a una crisi fino al ristabilimento della situazione ordinaria (minimizzazione dei danni economici e dei rischi d’immagine). Raccomandazioni della ASB per il Business Continuity Management (BCM) 10
Appendice B – Scala di gravità degli eventi
A seconda della gravità delle conseguenze risultanti da uno o più eventi dannosi, si opera una
distinzione tra incidente, incidente grave, crisi e calamità. Il Business Continuity Management
concerne esclusivamente la prevenzione delle crisi o delle calamità e la gestione delle crisi.
Calamità: incidente di ampia portata che ha un impatto critico sulla
società e influisce sul suo sistema di valori è definito calamità dal team
C risis Management
Calamità responsabile della gestione delle crisi. Le calamità sono per lo più
gestite attuando piani di ripristino dell’operatività.
Crisi Crisi: evento aziendale che richiede decisioni cruciali e che non può
essere risolto tramite le tecniche di gestione e le facoltà decisionali
consuete.
Incidente grave: conseguenza di uno o più incidenti, dei quali
Incidente grave eventualmente non si conosce la causa, ma che hanno un impatto
(ad es. Availability
Attività consueta
Management)
significativo sull’operatività aziendale.
Incidente: evento che provoca (o può provocare) un’interruzione di
Incidente attività, un guasto, una perdita o una riduzione della qualità del servizio.
Quando si viene a conoscenza del danno non è solitamente possibile
specificare con esattezza il tipo e la gravità dell’incidente.
Raccomandazioni della ASB per il Business Continuity Management (BCM) 11Appendice C – Andamento di una crisi
Andamento di una crisi in caso di Impact Type «Perdita di IT/dati»
Calamità
100%
Fase n
Business
Resumption Fase 2
Ultimo backup Fase 1
consistente
Tempo
Periodo di tempo con Periodo di tempo con indisponibilità degli applicativi
perdita di dati
RPO RTO
Recovery Point Recovery Time
Objective Objective
(in ore) (in ore)
Raccomandazioni della ASB per il Business Continuity Management (BCM) 12Appendice D – Fonti di riferimento Nell’implementazione della Business Continuity Strategy e del Business Continuity Planning possono essere consultate, tra l’altro, le seguenti norme (l’elenco non è esaustivo): Basel Committee on Banking Supervision: High-Level Principles for Business Continuity, Bank for International Settlements, agosto 2006, www.bis.org Financial Services Authority (FSA): Business Continuity Management - Practice Guide, 2006, www.fsa.gov.uk Australian Prudential Regulatory Authority (APRA): Prudential Standard APS 232 «Business Continuity Management» e Guidance Note 232.1, aprile 2005, www.apra.gov.au British Standards Organisation: The Guide to Business Continuity Management, Publicly Available Specification PAS 56:2003, 2003, www.automataservices.com Federal Reserve System (Fed): Interagency Paper on Sound Practices to Strengthen the Resilience of the U.S. Financial System, 2003, www.federalreserve.gov Information Security Forum: Aligning Business Continuity and Information Security, marzo 2006, www.securityforum.org Segretariato di Stato dell’economia (seco): Manuale in caso di pandemia, www.seco.admin.ch (in corso di stampa) Ufficio federale della sanità pubblica (UFSP): Influenza – Piano pandemico svizzero 2006, www.bag.admin.ch/influenza (si prevede un aggiornamento continuo) Raccomandazioni della ASB per il Business Continuity Management (BCM) 13
Associazione Svizzera dei Banchieri Aeschenplatz 7 Casella postale 4182 CH-4002 Basilea T +41 61 295 93 93 F +41 61 272 53 82 office @ sba.ch www.swissbanking.org
Puoi anche leggere
