La Società in house per i servizi informatici SISPI SpA

La Convenzione Comune-SISPI

Le attività di carattere tecnologico svolte dalla Società SISPI sono regolamentate dalla Convenzione con l’Amministrazione comunale, approvata con Delibera di Consiglio Comunale n. 42 del 20.04.2018 e modificata con Delibera di G.C. n. 71 del 23.03.2021 in attuazione della Deliberazione C.C. n. 385 del 30.12.2020.

In particolare la Società si occupa del corretto funzionamento dei sistemi informativi comunali (back office e front end), cura l’evoluzione tecnologica degli stessi sistemi grazie all’ausilio delle risorse extracomunali, quali PON METRO, PO FESR SICILIA, PNRR, e si occupa della connettività comunale, grazie anche alla gestione dell'infrastruttura “Anello Telematico” costituito da una rete di fibra ottica proprietaria per lo scambio dati ad alta velocità. La Società SISPI è il soggetto attuatore delle strategie comunali di digitalizzazione dei servizi e dei processi amministrativi in conformità con le indicazioni del CAD e del Piano Triennale nazionale per l’Informatica.

La Delibera ANAC n. 269/2020

Con la Delibera n. 269/2020, l’ANAC ha disposto per il Comune di Palermo ed in ragione degli affidamenti in house a SISPI, l’iscrizione nell’“Elenco delle amministrazioni aggiudicatrici e degli enti aggiudicatori che operano mediante affidamenti diretti nei confronti di proprie società in house” di cui all’articolo 192, comma 1, del decreto legislativo 18 aprile 2016, n. 50.

Le certificazioni della SISPI

A supporto del processo di transizione digitale dell’Amministrazione comunale, la Società Sispi, consapevole che i Sistemi di Gestione si configurano come elementi portanti e funzionali al miglioramento dei processi e delle prestazioni, e costituiscono una solida base per iniziative di sviluppo sostenibile, ha avviato un articolato sistema di certificazioni dei propri servizi organizzato attraverso un organico Sistema di Gestione Integrato (SGI) su tematiche afferenti alla Sicurezza delle Informazioni, all’Ambiente, ai Servizi IT, alla Continuità Operativa, all’efficientamento del Data Center anche dal punto di vista energetico. Ciò permette all'azienda di affinare tutti quegli strumenti gestionali preventivi e trasversali a tutti i processi realizzativi favorendo:

  1. il miglioramento delle performance aziendali secondo i dettami del miglioramento continuo;

  2. la riduzione dei rischi e la conseguente riduzione degli impatti negativi in termini operativi ed industriali;

  3. Il continuo aggiornamento delle proprie infrastrutture tecniche ed organizzative; creando un valore aggiunto di distinzione nel proprio contesto di riferimento.

Il sistema delle certificazioni della Società SISPI oggi comprende le seguenti:

  • ISO 9001 - Sistema di gestione per la Qualità;

  • ISO 27001 - Sicurezza informatica dei dati;

  • ISO 27701 - Conformità al GDPR;

  • ISO/IEC 27017:2015 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services;

  • ISO/IEC 27018:2019 Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors;

  • ISO 50001 - Sistema di Gestione dell’Energia;

  • ISO/IEC 20000-1 Gestione dei servizi IT;

  • ISO 22301 – Sistemi di gestione per la continuità operativa (Business Continuity;

  • EN 50600 - Information technology - Data centre facilities and Infrastructures;

  • ISO 14064-1:2018 Greenhouse gases — Part 1: Specification with guidance at the organization level for quantification and reporting of greenhouse gas emissions and removals.

Nello Specifico:

  • ISO 9001 - Sistemi di gestione per la qualità – Definisce i requisiti di un sistema di gestione per la qualità per un'organizzazione. I requisiti espressi sono di carattere generale e possono essere implementati da ogni tipo di organizzazione; ultima revisione nel settembre 2015 (ISO 9001:2015). La ISO 9001 è una normativa volta al miglioramento continuo e costante dell’azienda, con obiettivo l’ottimizzazione della struttura organizzativa. Si tratta di una scelta strategica per le imprese che vogliono incrementare la propria produzione, abbattere i costi, aumentare la fidelizzazione della clientela;

  • ISO/IEC 27001 - Tecnologia delle informazioni - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni – Requisiti. Norma internazionale che contiene i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni (SGSI o ISMS, dall'inglese Information Security Management System). Il conseguimento della certificazione accreditata ISO 27001 dimostra ai clienti, agli stakeholder ed alle autorità che l’organizzazione sta seguendo le best-practice internazionali sulla sicurezza delle informazioni e che i dati sono sufficientemente protetti;

  • ISO/IEC 27701:2021 - Tecniche di sicurezza - Estensione a ISO/IEC 27001 e ISO/IEC 27002 per la gestione delle informazioni in ambito privacy - Requisiti e linee guida. Specifica i requisiti e fornisce indicazioni per implementare, attuare, mantenere e migliorare costantemente un sistema di gestione delle informazioni sulla privacy (PIMS). Si basa sui requisiti della norma ISO/IEC 27001 e sul Codice di buone pratiche per i controlli della sicurezza delle informazioni nella ISO/IEC 27002. La certificazione di un sistema di gestione delle informazioni relative alla privacy (PIMS) costruisce la fiducia nella capacità dell’azienda di gestire le informazioni personali, sia per i clienti e dipendenti. È di supporto nel dimostrare conformità con il GDPR e altre norme applicabili sulla privacy. Chiarisce i ruoli e le responsabilità all'interno dell’organizzazione. Migliora la competenza interna e i processi per evitare infrazioni. Fornisce trasparenza sui controlli stabiliti per la gestione della privacy e facilita gli accordi con i partner commerciali in cui il trattamento dei PII (informazioni personali identificabili) è reciprocamente rilevante;

  • ISO /IEC 27017:2015 - Tecnologie Informatiche - Tecniche di sicurezza - Raccolta di prassi sui controlli per la sicurezza delle informazioni per i servizi in cloud basata sulla ISO/IEC 27002. Lo standard, rientrante tra quelli della serie ISO/IEC 27001, definisce controlli avanzati sia per fornitori di servizi cloud sia per i clienti degli stessi servizi. Chiarisce ruoli e responsabilità dei diversi attori con l’obiettivo di garantire che i dati conservati in cloud siano sicuri e protetti. La certificazione ISO/IEC 27017 ispira fiducia nell’azienda e clienti e stakeholder hanno una maggiore garanzia che i dati e le informazioni siano protette. Dimostra la presenza di solidi controlli per proteggere i dati. Protegge la reputazione del brand - riduce il rischio di pubblicità negativa a causa di violazioni dei dati. Protegge da sanzioni - assicura che le normative locali siano rispettate riducendo il rischio di multe per violazioni dei dati.

  • ISO/IEC 27018:2019 - Tecnologie informatiche - Tecniche di sicurezza - Raccolta di prassi per la protezione dei dati personali trattati in cloud pubblici da responsabili del trattamento. Lo standard rassicura i clienti e gli stakeholder sulla protezione delle informazioni personali. Protegge il brand riducendo il rischio di pubblicità negativa dovuta alla violazione dei dati. Riduce i rischi garantendo che essi siano identificati e che vengano realizzati i controlli per gestirli e ridurli. Protegge da implicazioni legali dovute alla mancata conformità alle normative sulla sicurezza e sulla violazione dei dati;

  • ISO 50001 - Sistemi di gestione dell'energia - Requisiti e linee guida per l'uso. La ISO 50001 specifica i requisiti che deve avere un sistema di gestione dell’energia (ENMS/SGE), mettendo in grado l’organizzazione di avere un approccio sistematico per un miglioramento continuo delle proprie prestazioni energetiche, tenendo conto anche degli obblighi legali. La norma definisce i requisiti applicabili all'uso e consumo dell'energia, includendo l'attività di: misurazione, documentazione, progettazione, acquisto di attrezzature, nonché i processi e il personale che contribuiscono a determinare la prestazione energetica. È una norma ad adesione volontaria, sostenuta nella legislazione nazionale ed europea che consente all’azienda di maturare la conoscenza del consumo energetico al proprio interno; monitorare e ridurre (quantificando oggettivamente gli sforzi di riduzione) il proprio fabbisogno energetico; valutare la conformità rispetto a vincoli legislativi e poterne così dare pubblico riscontro; poter dimostrare con maggiore facilità il rispetto degli obblighi cui è sottoposta l’organizzazione (dal mondo esterno o per autodeterminazione, ovvero obblighi legislativi o impegni derivanti dalla propria politica sull’energia); sviluppare in maniera credibile la propria reputazione ambientale;

  • ISO/IEC 20000 – standard internazionale sviluppato specificatamente per la gestione dei servizi IT (IT Service Management). Rappresenta uno strumento di riferimento per un’organizzazione di servizi informatici che mira al miglioramento dell'erogazione/fruizione dei servizi IT, ponendosi come obiettivo il raggiungimento della massima qualità dei servizi erogati e il massimo contenimento di costi. Tale Norma assieme alla ISO 27001, costituiscono un elemento competitivo differenziante nel mercato dei fornitori di servizi IT. Infatti, garantiscono il rispetto di elevati standard qualitativi sia per ciò che concerne la gestione dei processi chiave dell'organizzazione relativi a progettazione, sviluppo ed esercizio delle soluzioni fornite, sia nei rapporti con i terzi (fornitori, clienti, ecc.);

  • ISO 22301 – Sistemi di gestione per la continuità operativa (Business Continuity); è una norma internazionale relativa alla gestione della continuità operativa, che definisce i requisiti necessari a pianificare, stabilire, attuare, rendere funzionante un sistema di gestione documentato, e per monitorare, mantenere attivo e migliorare in continuo il sistema di gestione finalizzato a proteggere, ridurre le possibilità di accadimento, preparare, dare risposte ed a ripristinare eventi destabilizzanti per un'organizzazione, quando questi abbiano a manifestarsi;

  • ISO EN50600 - Progettazione di "Strutture e infrastrutture per data center"; è una normativa che definisce anzitutto le esigenze cui devono rispondere gli edifici destinati ad accogliere i data center e le loro infrastrutture. Indicata anche come riferimento per sistemi di gestione della qualità, essa descrive la procedura da seguire: spetta poi all’impresa fissare gli obiettivi principali e assicurare la disponibilità e la protezione (dalla classe «1 = bassa» a «4 = molto elevata»), come pure l’efficienza energetica – dalla classe 1 (semplici informazioni relative al data center nel suo insieme) a 3 (determinazione dei dati granulari per componenti settoriali del centro informatico);

  • ISO 14064-1 - Emissioni di gas ad effetto serra. La norma specifica i principi e i requisiti, al livello dell'organizzazione, per la quantificazione e la rendicontazione delle emissioni di gas ad effetto serra (GHG) e della loro rimozione. Essa include i requisiti per la progettazione, lo sviluppo, la gestione, la rendicontazione e la verifica dell'inventario dei gas ad effetto serra di un'organizzazione. La serie ISO 14064 è neutrale rispetto a i programmi relativi ai gas ad effetto serra. Se un programma relativo ai gas ad effetto serra è applicabile, i suoi requisiti sono da considerarsi aggiuntivi rispetto a quelli della serie ISO 14064.

Quanto sopra illustrato, nell’arco temporale del presente Piano, si riflette sulla capacità di SISPI di operare in ottica di efficacia ed efficienza globale e di consolidarsi, in linea con le prescrizioni normative di AGID, quale punto di riferimento anche per tutto il sistema delle società comunali oltreché per i comuni dell’Area Metropolitana che, grazie al PON Metro 2014-2020, già fruiscono di servizi in cloud.

Tra le caratteristiche più specifiche che contraddistinguono l’attività, la Società SISPI provvede a mantenere efficiente il cosiddetto “Anello Telematico” che rappresenta la rete comunale di fibra ottica (banda ultra larga) alla quale si agganciano gli uffici comunali per permettere lo scambio dati ad alta velocità e l’interoperabilità tecnica. La connettività è assicurata attraverso i servizi della Società SISPI che a sua volta, al fine di garantire i necessari servizi di backup alla connettività, provvede ad accedere al Servizio Pubblico di Connettività tramite convenzione Consip.

In questo quadro, la realizzazione del Piano comunale è possibile grazie alla professionalità e know how del personale tecnico della Società SISPI che quotidianamente supporta il personale comunale in questo periodo storico particolare di “transizione alla modalità digitale”, nel quale oltre all’adozione di nuovi applicativi software che soppiantano l’uso tradizionale della “carta” e dei processi legati alla gestione “cartacea” dei procedimenti amministrativi, è importante anche un percorso di accompagnamento culturale-formativo, necessario alla reingegnerizzazione dei processi condivisa con il personale dirigente e dipendente dell’Amministrazione.

Proprio in questo percorso condiviso di analisi dei processi amministrativi la SISPI si trova ad affiancare coloro che usano, già da ora, nuovi strumenti di lavoro per la gestione integrale del ciclo di vita del procedimento amministrativo in modalità digitale.

PreviousRuolo del Responsabile per la Transizione al DigitaleNextContesto Strategico

Last updated