EX-1: Documentazione delle Eccezioni

Descrizione

La documentazione delle eccezioni garantisce che le deviazioni dagli standard siano chiare, comprensibili e tracciabili. Tutte le eccezioni DEVONO (MUST) essere documentate con rischio, rationale e controlli compensativi.

Guida

Informazioni richieste

Ogni eccezione DEVE (MUST) includere:

1. Identificazione

ID univoco: Codice identificativo (es. EXC-2024-001)
Titolo: Descrizione breve e chiara
Data di creazione: Quando è stata sollevata l’eccezione

2. Standard interessato

Quale standard: Riferimento specifico allo standard/requisito
Sezione specifica: Quale parte dello standard non può essere seguita
Tipo: Sicurezza, architettura, processo, compliance, altro

3. Rationale

Perché l’eccezione è necessaria: Spiegazione chiara dei vincoli
Vincoli: Tecnici, operativi, di business, temporali
Alternative considerate: Quali opzioni sono state valutate
Perché le alternative non funzionano: Giustificazione

4. Valutazione del rischio

Livello di rischio: BASSO, MEDIO, ALTO, CRITICO
Impatto: Cosa può accadere se il rischio si materializza
Probabilità: Quanto è probabile che accada
Rischi identificati: Lista specifica dei rischi

5. Controlli compensativi

Controlli implementati: Misure alternative per mitigare il rischio
Efficacia: Quanto i controlli riducono il rischio
Limitazioni: Cosa i controlli compensativi non coprono

6. Timeline

Data di inizio: Quando l’eccezione diventa attiva
Data di fine: Quando l’eccezione scade
Piano di remediation: Come verrà risolto il vincolo
Milestone: Tappe intermedie verso la risoluzione

Livelli di rischio

Livello	Impatto	Probabilità	Esempi
CRITICO	Catastrofico	Alta	Data breach, complete system failure, violazione normativa grave
ALTO	Severo	Media-Alta	Perdita parziale di dati, degradazione servizio critico, violazione policy significativa
MEDIO	Moderato	Media	Funzionalità ridotta, performance degradata, deviazione da best practice
BASSO	Minore	Bassa	Inconveniente minore, impatto limitato, deviazione procedurale

Template eccezione

# Eccezione: [Titolo]

**ID**: EXC-YYYY-NNN
**Data creazione**: YYYY-MM-DD
**Creato da**: [Nome, Ruolo]
**Stato**: Draft / In Review / Approved / Rejected / Closed

## Standard interessato

- **Standard**: [Nome dello standard]
- **Sezione**: [Riferimento specifico]
- **Tipo**: Sicurezza / Architettura / Processo / Compliance

## Rationale

**Perché è necessaria questa eccezione:**
[Spiegazione chiara dei vincoli]

**Alternative considerate:**
1. [Alternativa 1] - [Perché non funziona]
2. [Alternativa 2] - [Perché non funziona]

## Valutazione del rischio

**Livello**: BASSO / MEDIO / ALTO / CRITICO

**Impatto**: [Descrizione dell'impatto se il rischio si materializza]

**Probabilità**: Bassa / Media / Alta

**Rischi specifici**:
- [Rischio 1]
- [Rischio 2]

## Controlli compensativi

1. [Controllo 1] - [Come mitiga il rischio]
2. [Controllo 2] - [Come mitiga il rischio]

**Limitazioni**: [Cosa non è mitigato]

## Timeline

- **Inizio**: YYYY-MM-DD
- **Fine**: YYYY-MM-DD (massimo 12 mesi per rischio ALTO/CRITICO)
- **Prossima revisione**: YYYY-MM-DD

**Piano di remediation**:
[Passi per risolvere il vincolo e eliminare l'eccezione]

## Approvazioni

- **Proposto da**: [Nome, Data]
- **Revisionato da**: [Nome, Ruolo, Data]
- **Approvato da**: [Nome, Ruolo, Data]

Misurazione

Stato	Criteri
🟢 VERDE	Tutte le eccezioni documentate con rischio e rationale completi
🟡 AMBRA	Alcune eccezioni incomplete o rationale debole
🔴 ROSSO	Eccezioni non documentate o documentazione mancante