Home

EX-2: Processo di Approvazione

Descrizione

Il processo di approvazione garantisce che le eccezioni siano revisionate e autorizzate al livello appropriato in base al rischio e alla materia. Tutte le eccezioni DEVONO (MUST) seguire questo processo prima di essere implementate.

Guida

Flusso di approvazione

1. PROPOSTA
   ↓
   Team di delivery documenta l'eccezione (vedi EX-1)

2. REVIEW TECNICA
   ↓
   Architect/Security Architect revisiona e valida:
   - Rationale è valido?
   - Rischi sono correttamente valutati?
   - Controlli compensativi sono adeguati?
   - Alternative sono state considerate?

3. APPROVAZIONE
   ↓
   Approver appropriato in base a rischio e materia:

   BASSO → Technical Lead
   MEDIO (Security) → Security Architect
   MEDIO (Other) → Solution/Technical Architect
   ALTO/CRITICO → Deputy Director

4. IMPLEMENTAZIONE
   ↓
   Eccezione registrata e controlli compensativi implementati

5. MONITORING
   ↓
   Review periodica e tracking verso remediation

Soglie di approvazione

Livello di rischio	Eccezioni di sicurezza	Altre eccezioni
BASSO	Technical Lead	Technical Lead
MEDIO	Security Architect	Solution o Technical Architect
ALTO / CRITICO	Deputy Director	Deputy Director

Responsabilità degli approver

Technical Lead (rischio BASSO):

• Verificare che i controlli compensativi siano implementati
• Approvare eccezioni che hanno impatto limitato
• Monitorare progress verso remediation
• Escalation se il rischio aumenta

Security Architect (rischio MEDIO - Security):

• Valutare accuratamente i rischi di sicurezza
• Verificare che i controlli compensativi siano efficaci
• Richiedere modifiche se necessario
• Consulenza su strategie di remediation

Solution/Technical Architect (rischio MEDIO - Other):

• Valutare impatto architetturale
• Verificare conformità a best practice
• Richiedere alternative se disponibili
• Supporto nella remediation

Deputy Director (rischio ALTO/CRITICO):

• Decision finale su eccezioni ad alto impatto
• Bilanciare rischio vs business value
• Assicurare ownership e accountability
• Review esecutiva periodica

Criteri di approvazione

Un’eccezione PUÒ (MAY) essere approvata se:

✅ Rationale valido: Vincoli legittimi e ben documentati ✅ Rischi compresi: Valutazione del rischio accurata e completa ✅ Controlli compensativi: Misure alternative implementate ✅ Time-bound: Limite temporale chiaro e ragionevole ✅ Remediation plan: Piano credibile per risoluzione

Un’eccezione NON DOVREBBE (SHOULD NOT) essere approvata se:

❌ Convenience: Eccezione richiesta per convenienza, non necessità ❌ Rischi non mitigati: Nessun controllo compensativo ❌ Indefinita: Nessun piano o timeline per remediation ❌ Alternative disponibili: Esistono soluzioni conformi praticabili ❌ Pattern: Eccezioni ripetute per lo stesso standard (indica problema sistemico)

Processo di escalation

Se un’eccezione è respinta:

1. Feedback: L’approver fornisce ragioni chiare del rifiuto
2. Revisione: Il team può rivedere e ri-sottoporre con modifiche
3. Escalation: Se il team non è d’accordo, può escalare al livello superiore
4. Decision finale: Il Deputy Director ha l’autorità finale

Timeline di approvazione

Rischio	Target response time
CRITICO	2 giorni lavorativi
ALTO	5 giorni lavorativi
MEDIO	10 giorni lavorativi
BASSO	15 giorni lavorativi

Documentazione dell’approvazione

L’approvazione DEVE (MUST) includere:

• Nome e ruolo dell’approver
• Data dell’approvazione
• Firma elettronica o email di conferma
• Condizioni (se applicabili): Es. “Approvato purché X sia implementato entro Y”
• Commenti: Note o raccomandazioni dell’approver

Misurazione

Stato	Criteri
🟢 VERDE	Tutte le eccezioni approvate al livello corretto con controlli compensativi
🟡 AMBRA	Alcune approvazioni mancanti o ritardate
🔴 ROSSO	Nessuna approvazione o processo bypassato

Riferimenti

• NCSC Risk Management Guidance
• RACI Matrix - Responsibility Assignment