IT Policy Lifecycle — Gonzato Group / Ind.i.a SpA
Pacchetto onboarding IT Gonzato · Fase P3 · Head of IT · v1 03/07/2026 · bozza da compilare in azienda
Scopo del documento
Definisce il processo di creazione, approvazione, pubblicazione, revisione periodica e ritiro delle policy IT del Gruppo. È la "policy delle policy": garantisce che il corpus documentale (rif. it-policy-index.md) resti vivo, coerente e aggiornato nel tempo, invece di diventare un insieme di documenti fermi.
Serve a rendere la governance sostenibile e trasferibile: le policy non dipendono da una singola persona per essere mantenute, e la loro evoluzione segue un iter chiaro e condiviso col team IT.
Ciclo di vita di una policy
Proposta → Bozza → Revisione → Approvazione → Pubblicazione → Manutenzione → Ritiro
| Fase | Descrizione | Owner | Output |
|---|---|---|---|
| Proposta | Identificazione bisogno (rischio, obbligo, gap) | Chiunque, via Resp. IT Gruppo | Voce in index |
| Bozza | Redazione contenuto (co-autoria team IT per policy operative) | Owner della policy | Documento draft |
| Revisione | Verifica coerenza, fattibilità, impatto | Resp. IT Gruppo + stakeholder | Commenti risolti |
| Approvazione | Firma dell'autorità competente | Resp. IT Gruppo / Direzione (rif. charter) | Policy approvata |
| Pubblicazione | Comunicazione e disponibilità | Resp. IT Gruppo | Policy attiva + comunicazione |
| Manutenzione | Revisione periodica e aggiornamenti | Owner della policy | Nuova versione |
| Ritiro | Superamento o obsolescenza | Resp. IT Gruppo | Policy archiviata |
Autorità di approvazione
| Tipo di policy | Approva |
|---|---|
| InfoSec Policy Master (livello 2) | Direzione / CdA |
| Policy specifiche (livello 3) | Responsabile IT di Gruppo |
| Standard e procedure (livello 4) | Referente tecnico competente + Resp. IT Gruppo |
(coerente con le soglie e le deleghe del it-governance-charter.md)
Versioning e stato
- Numerazione:
vMAJOR.MINOR(es. v1.0). MAJOR = cambio sostanziale; MINOR = correzioni/chiarimenti. - Stati: Da avviare · In bozza · In revisione · Approvata · In manutenzione · Ritirata (allineati a
it-policy-index.md). - Ogni policy riporta in testata: owner, versione, data, prossima revisione, autorità di approvazione.
Cadenza di revisione periodica
| Priorità policy | Revisione minima | Trigger straordinari |
|---|---|---|
| Alta (rischio / NIS 2) | Annuale | Incidente, cambio normativo, split |
| Media | Ogni 18-24 mesi | Cambio processo o organizzativo |
| Bassa | Ogni 24-36 mesi | Su segnalazione |
Trigger straordinari (sempre): incidente di sicurezza rilevante, modifica normativa (es. NIS 2), avanzamento dello split societario, cambio organizzativo IT, esito di audit.
Registro delle revisioni (template per singola policy)
| Versione | Data | Autore | Modifiche | Approvata da |
|---|---|---|---|---|
| v1.0 | [da compilare] | [da compilare] | Prima emissione | [da compilare] |
Ruoli nel ciclo di vita
- Responsabile IT di Gruppo: custode del processo, coordina proposte, revisioni e approvazioni di livello 3.
- Team IT: co-autore dell'as-is nelle policy operative, esegue e segnala esigenze di aggiornamento.
- Direzione / CdA: approva la policy master e le decisioni oltre le deleghe.
- DPO / referenti funzione: consultati dove impattano dati personali o processi di business.
Principio
Il ciclo di vita è leggero ma tracciato: ogni policy ha un owner, una data di revisione e una storia versioni. Questo evita sia la rigidità burocratica sia il decadimento silenzioso del corpus, e rende la manutenzione indipendente dalla singola persona.
Approvazione
| Ruolo | Nome | Firma | Data |
|---|---|---|---|
| Responsabile IT di Gruppo | [da compilare] | ||
| Direzione | Dario Gonzato |
Revisione di questo processo: annuale. Owner: Responsabile IT di Gruppo.