BU ICT

La BU ICT opera nei seguenti campi:

a) Business and Technology Consulting.

• Consulenza e progettazione per migliorare l'efficienza operativa dei processi di business, trasformare i processi di business esistenti, crearne di nuovi attraverso l'adozione di soluzioni IT. Attività:
  • analisi dei requisiti di business
  • analisi o reengineering dei processi di business
  • change management
  • consulenza organizzativa associata all’adozione di soluzioni IT
• Consulenza e progettazione per l’architettura, lo sviluppo e l’integrazione di soluzioni IT, e per il reengineering dei sistemi informativi esistenti. Attività:
  • definizione delle esigenze IT del cliente
  • formulazione di piani di sviluppo dei sistemi informativi
  • definizione del disegno logico dei sistemi
  • definizione delle necessarie infrastrutture hw e sw
  • valutazione dell’efficienza operativa dei sistemi IT esistenti
  • test relativo all’impiego delle nuove soluzioni IT
• Project Management. Attività: 
  • Servizi per la gestione integrata della progettazione, dello sviluppo e del deployment di una soluzione IT, per quanto riguarda gli aspetti tecnici, i requisiti espressi dal cliente, le risorse umane, le prestazioni transazionali del sistema realizzato, le attività di training del client

b) Sviluppo software:

• Sviluppo, customizzazione, reengineering di sistemi e soluzioni software progettati all’interno del gruppo Tosinvest. Con questi servizi vengono realizzate e/o ristrutturate funzioni applicative di soluzioni custom o pacchettizzate
• Deployment dei sistemi e delle applicazioni. I servizi di deployment prevedono la messa in opera di nuovi applicativi o infrastrutture, comprendono la configurazione, la messa a punto, l’installazione e il test di interoperabilità tra sistemi.

c) Integrazione di soluzioni:

• Integrazione di sistemi e applicazioni su piattaforme esterne e/o soluzioni software del Gruppo. Servizi di progettazione, di messa in opera e di gestione, per l’interfacciamento e l’integrazione di sistemi applicativi nuovi e/o esistenti presso il cliente, possono comprendere attività per l’acquisizione di hw e sw oltre naturalmente alla configurazione, la messa a punto, l’installazione e il test di interoperabilità tra sistemi.
• Porting e migrazione di sistemi e applicazioni esistenti. Servizi di trasformazione di applicazioni per renderle portabili su differenti piattaforme o architetture hw e sw.

d) Gestione e manutenzione di applicazioni e sistemi:

• Monitoraggio, gestione e manutenzione (correttiva, adattativa, evolutiva) delle applicazioni sviluppate da terzi o dal Gruppo. I servizi comprendono un’ampia gamma di servizi applicativi, di processi e di metodologie per la manutenzione, l’arricchimento funzionale e la gestione di sistemi applicativi custom e pacchettizzati.

e) Outsourcing e security:

• Servizi di procurement, asset management, gestione e help desk relativi al parco hardware e software del cliente per la componente di office automation.o Servizi di ripristino dei sistemi, di memorizzazione dati e di stand-by della capacità elaborativa.
• Gestione dei sistemi e delle applicazioni in esercizio.
• Garanzia della sicurezza del transito delle informazioni, dei contenuti, dei profili abilitanti all’accesso delle informazioni.

f) Servizi di help desk.

Lo Standard ISO 27001:2005 è una norma internazionale che fornisce i requisiti di un Sistema di Gestione della Sicurezza delle Informazioni. In quest’ottica la BU ICT del San Raffaele S.p.A. si è impegnata attivamente nell’introduzione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) secondo lo standard internazionale ISO/IEC 27001:2005

Obiettivo principale del SGSI è l’erogazione di servizi in grado di soddisfare i bisogni degli utenti proteggendo gli asset informativi e migliorandone i processi di sicurezza attraverso un continuo monitoraggio della compliance alle procedure di Sicurezza.

Il SGSI è progettato al fine di pianificare, mettere in opera, utilizzare, monitorare e migliorare (Plan-Do-Check-Act) un sistema documentato per la gestione della sicurezza delle informazioni, all’interno di un contesto di rischi relativi alla BU ICT del San Raffaele S.p.A.

Il SGSI del San Raffaele S.p.A. è strutturato in quattro macro-aree documentali:

• Documenti direttivi
• Documenti operativi
• Documenti di gestione del Rischio
• Documenti di registrazione

La documentazione direttiva del SGSI è rappresentata da:

• Politica per la Sicurezza delle Informazioni
• Campo di Applicazione del SGSI

La Politica per la Sicurezza delle Informazioni definisce gli indirizzi ed il supporto offerto dalla Direzione per la sicurezza delle informazioni in conformità ai requisiti del business ed al cogente pertinente:

• Responsabilità degli amministratori (231/01)
• Tutela della Privacy (196/03)
• Nomina degli Amministratori di Sistema (provvedimento del garante del 27 novembre 2008)
• Sicurezza negli ambienti di lavoro 626/94 – (TU 81/2008)
• Protezione del diritto d’autore e di altri diritti connessi al suo esercizio (Legge 633/41 e Decreto Legislativo n. 518 del 29/12/1992)

Il Campo di Applicazione del SGSI fornisce una macro descrizione dei processi, dei dati, delle informazioni e delle infrastrutture che devono soddisfare i requisiti della Normativa ISO/IEC 27001:2005 in quanto soggetti a certificazione.

La documentazione operativa comprende le Procedure Operative interne alla BU ICT. Obiettivo delle procedure operative è fornire agli utenti della BU ICT del San Raffaele S.p.A. uno strumento che permetta loro di svolgere quelle che sono le attività considerate critiche per il business del San Raffaele S.p.A., in modo organizzato e soprattutto in modo da garantire l’efficacia e l’efficienza dei processi indicati.

La documentazione di Gestione del Rischio costituisce un’area molto importante del SGSI. Tale documentazione descrive nel dettaglio, i vari passi seguiti dalla BU ICT del San Raffaele S.p.A. per:

• identificare il rischio
• analizzare e ponderare il rischio
• identificare e ponderare le opzioni per il trattamento dei rischi
• gestire il rischio

Un documento particolarmente significativo all’interno del processo di gestione del rischio è la Dichiarazione di Applicabilità (SoA).
Il SoA fornisce infatti un sommario delle decisioni riguardanti il trattamento del rischio.

Nel SoA di San Raffaele S.p.A. sono elencati:

• i singoli controlli previsti dall’Annex A (allegato della Norma ISO/IEC 27001:2005)
• i controlli effettivamente attuati nella BU ICT di San Raffaele S.p.A. con l’indicazione della motivazione della loro applicazione
• la motivazione per la mancata attuazione di controlli previsti dall’Annex A, all’interno della BU ICT di San Raffaele S.p.A.

Per ciascun controllo applicabile nella BU ICT di San Raffaele S.p.A. è inoltre riportato, nel Piano di Trattamento del Rischio, il documento di riferimento del SGSI al fine di avere una visione completa della documentazione del SGSI di San Raffaele S.p.A.

I documenti di Registrazione, hanno l’obiettivo di assicurare che tutte le azioni intraprese per la gestione della sicurezza delle informazioni siano tracciabili a fronte delle decisioni della Direzione e delle politiche aziendali e hanno l’obiettivo di assicurare che i risultati registrati siano successivamente riproducibili.